De Europese Unie komt in januari 2019 met een speciaal beloningsprogramma voor het vindne van software bugs in open source software. De EU wil hierdoor het gebruik van open source software binnen haar eigen instellingen verbeteren en vooral veiliger maken.
De zogeheten ‘bug bounties’ of beloningen die ontwikkelaars kunnen krijgen door actief fouten en kwetsbaarheden in software op te sporen, zijn voor de EU van groot belang omdat binnen de diverse instellingen veel open source software aanwezig is.
Concreet gaat het om het opsporen van fouten en kwetsbaarheden in 14 verschillende soorten open source software die binnen de EU vaak worden gebruikt. Deze open source softwaresystemen zijn: 7-zip, Apache Kafka, Apache Tomcat, Digital Signature Services, Drupal, Filezilla, FLUX TL, the GNU C Library (glibc), KeePass, midPoint, Notepad++, PuTTY, the Symfony PHP framework, VLC Media Player and WSO2.
Beloning al naar gelang grootte probleem
De hoogste van de beloning voor het vinden van fouten en kwetsbaarheden in bovenstaande software vindt plaats op twee criteria. In de eerste plaats de zwaarte van het gevonden probleem en in de tweede plaats in hoeverre de betreffende software voor de EU belangrijk is. In totaal zijn er substantiële bedragen van tussen de 25.000 en 91.000 euro beschikbaar voor de bug bounties, afhankelijk van het project.
FOSSA organisator van het onderzoeksproject
Organisator van het Bug Bounty-project is het al bestaande Free and Open Source Software Audit (FOSSA)-project van de EU. Dit project ontstond in 2015 nadat er fouten werden geconstateerd in de OpenSSL open-source library waarmee het internetverkeer wordt versleuteld.
De EU is overigens niet de enige overheidsorganisatie die actief bug bounties ter beschikking stelt. Ook in de Verenigde Staten en in Singapore zijn dit soort projecten actief.