Europa pagará por encontrar vulnerabilidades en 15 programas de código abierto

La Comisión Europea financiará un programa de recompensa de vulnerabilidades para varios proyectos de código abierto utilizados en instituciones y administraciones de los estados miembros de la Unión Europea.

En total, la Comisión pagará por encontrar errores en 15 proyectos Open Source. Desde enero las aplicaciones incluidas son 7-zip, Apache Kafka, Apache Tomcat, Digital Signature Services (DSS), Drupal, Filezilla, FLUX TL, la GNU C Library (glibc), KeePass, Notepad++, PuTTY, PHP Symfony, VLC Media Player y WSO2. A partir de marzo se unirá otra, midPoint.

El programa se extenderá hasta el verano de 2019 para algunas de las aplicaciones, mientras que otras como Drupal estarán activas hasta octubre de 2020. Las recompensas van desde 17.000 a 90.000 euros.

La iniciativa forma parte de la tercera edición del proyecto de Auditoría de Software de Fuente Abierta y Libre (FOSSA), cuyo objetivo es garantizar la integridad y confiabilidad de aplicaciones en Internet y otras infraestructuras.

Los orígenes del Proyecto FOSSA se remontan a 2014 cuando se descubrió una vulnerabilidad de seguridad en la biblioteca de cifrado Open SSL, explica una de sus promotoras y parlamentaria de la UE, Julia Reda:

“El fallo en OpenSSL hizo que mucha gente se diera cuenta de lo importante que es el software libre y de código abierto para la integridad y confiabilidad de Internet y otras infraestructuras. Al igual que muchas otras organizaciones, instituciones como el Parlamento Europeo, el Consejo y la Comisión emplean Software Libre para administrar sus sitios web y muchas otras cosas. Pero Internet no solo es crucial para nuestra economía y nuestra administración. Es la infraestructura que recorre nuestras vidas cotidianas. Es el medio que utilizamos para recuperar información y ser políticamente activos”, comenta Reda para explicar el inicio de FOSSA.

Todas las aplicaciones incluidas en el programa de recompensas incluidas en la tercera edición de FOSSA son utilizadas por las instituciones de la UE. “La cantidad de la recompensa dependerá de la gravedad del problema descubierto y la importancia relativa del software”.

Los programas de recompensas de errores son usados desde hace años por todas las grandes tecnológicas y suelen dar buenos resultados para mejorar la seguridad de software. Más información | Julia Reda