اخبار

جایزه برای باگ یابی امنیتی نرم‌افزارهای متن‌باز

اتحادیه اروپا بر روی باگ یابی مربوط به پروژه‌های متن‌باز (مانند Putty، Notepad++، KeePass و …) سرمایه گذاری می‌کند.

حیات اینترنت به شدت به پروژه‌های متن‌باز موجود در آن بستگی دارد. اما بیش­تر این پروژه‌ها توسط توسعه‌دهندگان سخت‌کوش و خیرخواه توسعه پیدا می‌کنند. متأسفانه درنتیجه­‌ی این اتفاق توسعه دهندگان وقت و منابع کافی را در اختیار نخواهند داشت و نیازمند آن هستند که آسیب‌پذیری‌های مربوط به کدها را تشخیص دهند.

اتحادیه اروپا این مشکل را شناسایی کرده و برای ۱۵ برنامه کاربردی از پروژه‌ها و برنامه‌های متن‎‌باز (FOSSA)، قسمتی را به عنوان دریافت جایزه در ازای کشف باگ امنیتی (Bug Bounty) قرار داده است. محدوده‌­ی این جایزه باتوجه به نرم‌افزار مورد نظر و شدت آسیب‌پذیری کشف شده بین ۳۰هزار دلار تا ۱۰۰هزار دلار، قابل تغییر است.

به ترتیب بیش­ترین پرداختی به عنوان جایزه شامل نرم‌افزار‌های PuTTY، Drupal، Notepad++، KeePass،  Filezilla، Apache Kafka، VLC Media Player، ۷-zip، WSO2،  midpoint، GNU C Library، PHP Symfony،  Apache Tomcat و Flux TL می­شود.

سازمان FOSSA در سال ۲۰۱۴ به عنوان یکی از نتایج مستقیم حاصل از کشف آسیب‌پذیری طی پروژه کتابخانه OpenSLL آغاز به کار کرد. فاز اول FOSSA در سال ۲۰۱۵ راه‌اندازی شد که یک جمع‌بندی از بررسی‌های خود ارائه نمود. نتایج سرویس‌­دهنده­‌ی وب Apache و مدیریت رمز‌های برنامه KeePass  و نتایج بررسی FOSSA هر دو باهم ۱.۱۵ میلیون دلار در سال ۲۰۱۶ هزینه به دنبال داشت. فاز دوم یک سال بعد شروع شد که طی آن یک پروژه کشف باگ برای برنامه VLC در HackerOne راه‌اندازی کردند. فاز سوم در سال ۲۰۱۸ برنامه‌­ریزی شده و در ماه ژانویه امسال رسما آغاز به کار خواهد کرد. این مسابقه‌­ی کشف آسیب‌پذیری در Intigriti و HackerOne  قابل مشاهده است.

مطالب مرتبط:
کشف آسیب‌پذیری سرشماری و استخراج نام‌های کاربری در کلاینت OpenSSH
phpMyAdmin: به‌روزرسانی حیاتی؛ هم اکنون اقدام کنید!
فهرست ۲۵ مورد از بدترین پسوردهای سال ۲۰۱۸

منبع: TECHSPOT

جایزه برای باگ یابی امنیتی نرم‌افزارهای متن‌باز

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top