Kar nekaj časa je minilo, odkar sem nazadnje pisala o projektu Free and Open Source Software Audit, FOSSA (projekt revizije svobodne in odprtokodne programske opreme), zato bom začela s kratko obnovo, katero lahko seveda preskočite, v kolikor ste na tekočem glede projekta.

Kaj se je dogajalo do sedaj?

Leta 2014 so bile odkrite varnostne pomanjkljivosti v pomembnih projektih svobodne programske opreme. Ena izmed težav je bila najdena v odprtokodni šifrirni knjižnici OpenSSL. Ta vrsta programske opreme se imenuje knjižnica, ker velikemu številu drugih programov omogoča dostop do standardnih funkcij. Posledično so vsi povezani programi nosili posledice napak v knjižnici.

Ker je OpenSSL poleg tega tudi zelo pomemben pri šifriranju internetnega prometa, je ključen za zaščito vaše zasebne komunikacije ali podatkov o plačilu, ko kupujete preko spleta.

Zaradi razkritja te težave se je veliko ljudi začelo zavedati, kako pomembna je svobodna in odprtokodna programska oprema za integriteto in zanesljivost interneta ter druge infrastrukture. Tako kot številne druge organizacije, tudi institucije, kot so Evropski parlament, svet in komisija, uporabljajo svobodno programsko opremo pri grajenju svojih spletnih strani in številnih drugih zadev. Vendar internet ni ključen le za naše gospodarstvo in upravo, temveč je infrastruktura, ki poganja naš vsakdan. Preko njega dostopamo do informacij in se politično udejstvujemo.

Zato sva s kolegom Maxom Anderssonom začela projekt Free and Open Source Software Audit: FOSSA.

FOSSA

Med leti 2015 – 2016 je prva različica FOSSA projekta naredila inventuro svobodne programske opreme, na katero se zanaša Evropska komisija. Prav tako se je analiziralo, kako se razvijalci programske opreme soočajo z varnostjo pri svojih projektih. Na dveh projektih (spletni server Apache in upravljalec gesel KeePass) pa je bila opravljena revizija.

FOSSA 2

Leta 2017 je bil projekt podaljšan za tri leta. Takrat smo se odločili, da gremo korak dlje in smo na seznam ukrepov za povečanje varnosti brezplačne in odprtokodne programske opreme dodali izplačevanje nagrad za odkrivanje napak (Bug Bounty) pri pomembnih projektih brezplačne programske opreme.

Načrtovali smo tudi serijo “hackathonov”, ki bi omogočili razvijalcem programske opreme znotraj EU institucij in razvijalcem iz projektov svobodne programske opreme, da bolje sodelujejo in skupaj delajo neposredno na svoji programski opremi.

FOSSA Bug Bounties

Januarja je Evropska komisija razglasila 14 od 15 “bug bountijev” na svobodni programski opremi, na katero se zanašajo EU institucije. “Bug bounty” je nagrada za tiste, ki aktivno iščejo varnostne pomanjkljivosti. Višina nagrade je odvisna od tega, kako huda je odkrita pomanjkljivost in relativne pomembnosti programske opreme. Projekti programske opreme, ki so bili izbrani, so bili vnaprej izbrani kot kandidati iz inventarjev in preko javne ankete.

K spodaj navedenim projektom lahko prispevate s tem, da analizirate programsko opremo in nam pošljete kakršnekoli napake ali pomanjkljivosti, ki jih najdete preko bug bounty platforme. Tukaj je seznam projektov programske opreme in ‘bug bountijev’: