Nieuwe EC-bounties voor bugs in open source

De nieuwe set aan bug bounties van EC-initiatief ISA2 is eerder deze maand van start gegaan. Het aanmelden van gevonden fouten in code verloopt via het Intigriti-platform voor bug bounties. De beloningen die worden gefinancierd door ISA2 richten zich op opensourcesoftware die wijdverbreid in gebruik is bij Europese openbare diensten. Zo wordt Element gebruikt door overheidsinstanties in Frankrijk en Duitsland. Moodle is wereldwijd veel in gebruik, aldus ISA2, en ook Zimbra is populair.

Ook oog voor fixes

De nu uitgeloofde premies voor het vinden van bugs in deze drie verschillende softwarepakketten lopen (afhankelijk van de ernst) op tot een maximumbedrag van 5000 euro per stuk. Daarbij geldt echter nog een bonus van 20 procent bovenop de uit te keren bounty als de ontdekker van een bug bij de melding ervan ook code voor een fix aanlevert.

Met die bonusregeling voorziet de EC in het fenomeen dat een opensourceproject dankzij het Europese bugbounty-programma overspoeld wordt met bugmeldingen. Het kan dan echter nog veel tijd en moeite kosten om de gevonden en gemelde bugs te fixen. Ondertussen zijn de bugs wel gevonden en kunnen kwaadwillenden de moeite nemen om op eigen houtje de bestaande kwetsbaarheden uit te vogelen voor misbruik.

Heartbleed

In het verleden is al gebleken dat sommige essentiële opensourceprojecten afhankelijk zijn van slechts een handjevol ontwikkelaars. Het bijhouden van fixes kan dan een grote uitdaging zijn. Enkele grote en geruchtmakende beveiligingsgaten in breed gebruikte softwarecomponenten hebben dit al aangetoond. De Heartbleed-bug in OpenSSL is hier een voorbeeld van: aan die veelgebruikte en gratis cryptografische library werkten maar twee fulltime ontwikkelaars.