2019 年开始,欧盟将针对 14 个开源程序开启漏洞赏金计划( bug bounty )。主动搜索安全漏洞的人会获得数额不等的赏金,具体金额则取决于问题的严重程度和软件的相对重要性。

这 14 个开源程序都是欧盟的机构所依赖的基础软件,以首字母顺序排列分别为: 7-zip 、 Apache Kafka 、 Apache Tomcat、 Digital Signature Services (DSS) 、 Drupal 、 Filezilla 、 FLUX TL、 the GNU C Library (glibc) 、 KeePass 、 midPoint 、 Notepad++ 、 PuTTY 、 the Symfony PHP framework、 VLC Media Player 和 WSO2 。

项目的前身始于 2014 年的一次事件。当时,安全研究人员在 OpenSSL 软件库包中发现有严重漏洞的存在, OpenSSL 库是许多网站用来支持 HTTPS 连接的开源项目,漏洞影响了超过 50 万的网络安全 Web 服务器。

以此为契机,欧盟议员 Julia Reda 启动了项目 FOSSA (免费和开源软件审计),以帮助提高网络的整体安全性。试点项目从 2015 年持续至 2016 年,初始预算为 100 万欧元,最终针对 Apache HTTP Server 和 KeePass 两个项目,收到了超过 3000 个漏洞报告。

2019 年正式开启的第三版 FOSSA ,涉及项目的数量一下子跃升至 14 个,项目赏金从 3 万到 9 万欧元不等。

由不同的开发者建立的网络世界,已然成为新的现实世界的一部分,这些使用率极高的软件则像是“城市”中的基础设施。 FOSSA 项目介绍中表态,作为日常生活的一部分,欧盟委员会和公共行政部门有责任通过注资来确保网络世界的稳定性、可靠性和安全性。

与此同时,这些开源软件也是欧盟数字基础设施的重要组成部分。它们负责加密互联网数据、保护公民的通信和财务细节,或被用于为欧洲议会、理事会和委员会运行网站。

如果此类软件受到攻击,黑客将可以访问从登录凭据到医疗文件的一系列重要内容,甚至进一步扰乱欧洲政治——通过利用软件中的漏洞,犯罪分子可以窃取到欧盟政治系统中的重要信息,也可能让外国间谍更轻易地进入系统。因此欧盟注资的赏金计划,不仅是一个公共意义重大的项目,也对欧盟本身的系统安全进行了极大的补充。

类似的漏洞赏金挑战被全世界的一些其他大型机构和部门袭用。 2016 年,美国国防部就曾邀请白帽黑客寻找军方网络安全系统中的漏洞。运作这个被称作“破解五角大楼”的项目,是美国政府层面有史以来首次作出这种尝试,目前已经报告了超过 5000 个有效漏洞。

数字基础设施安全日益成为政府机构工作的要点。欧盟委员会主席 Jean-Claude Juncker 在 2017 年塔林数字峰会上说:“网络攻击不分国界,但我们的响应能力因国家而异,造成漏洞,并引来更多的攻击。欧盟需要更强大和有效的结构,以确保强大的网络弹性并应对网络攻击。我们不希望成为这场全球威胁中最薄弱的一环。”

漏洞赏金计划是一个能让多方都获益的计划。来自外部的专业人士甚至自由职业者,能够获得经济回报,而软件公司和政府则能获得前所未有的、广泛的人力帮助,以分散原本巨大的工作量。

分类:行业资讯