欧盟发起开源软件Bug悬赏惹争议!

开源最前线(ID:OpenSourceTop) 猿妹整编

链接:https://juliareda.eu/2018/12/eu-fossa-bug-bounties/、https://duo.com/decipher/open-source-software-needs-funding-not-bug-bounty-programs

2014 年开源加密库 OpenSSL 项目爆出的高危漏洞 Heartblood ,OpenSSL关系到用户在网购时的个人通信和付款安全,正是因为这个问题,很多人意识到免费开源的软件对于互联网和其他基础设施的完整性和可靠性有多么重要。


和其他组织一样,欧盟委员会等机构也有许多东西是建立在开源软件的基础上,但互联网不仅对我们的经济和政府至关重要,它还是我们日常生活的基础设施,是我们检索信息的重要手段。


于是在2015-2016年,欧盟发起FOSSA项目( Open Source Software Auditing)。欧盟委员会选中 Apache HTTP Server 和 Keepass 两个开源项目获得免费的安全审计资助。2017年决定FOSSA项目继续延续三年,继续增加重要的开源软件的安全和可靠性。


现在,欧盟议会还宣布向开源项目提供 Bug 悬赏去改进开源项目的安全性,目前提供资助的开源项目有14个。



该计划公布后,立马引发争议,有人支持的同时也有人反对,反对的人甚至认为这是本末倒置,某安全网站就发文点评到欧盟的悬赏计划的重点是发现漏洞,而不是修复漏洞,这其实有点本末倒置。这些开源软件的维护者本身就已经有很长的待修复列表,再加上“漏洞猎人”的反馈,整个修复列表会变得更长。这无意增加了维护中的压力,也导致他们需要更多资源才能去解决问题。


Luta Security 的创始人兼软件漏洞管理专家 Katie Moussouris 在 Twitter 上写道:“我不认为这个悬赏计划是好事,除了提交漏洞的这部分人,这个项目还有其他的维护者,这些人的援助资源在哪里?如果开源项目的漏洞悬赏计划没有为其他维护人员提供资金,很可能会浇灭那些志愿维护者的热情


对此事,你又有什么看法呢?

推荐↓↓↓
开源最前线
上一篇:准确率秒杀结巴分词,北大开源全新中文分词工具包PKUSeg 下一篇:2018年12月份GitHub上最热门的Python项目