歐盟懸賞百萬歐元，徵集黑客對開源軟體進行公開排查

2019 年開始，歐盟將針對 14 個開源程序開啟漏洞賞金計劃（ bug bounty ）。主動搜索安全漏洞的人會獲得數額不等的賞金，具體金額則取決於問題的嚴重程度和軟體的相對重要性。

這 14 個開源程序都是歐盟的機構所依賴的基礎軟體，以首字母順序排列分別為： 7-zip 、 Apache Kafka 、 Apache Tomcat、 Digital Signature Services (DSS) 、 Drupal 、 Filezilla 、 FLUX TL、 the GNU C Library (glibc) 、 KeePass 、 midPoint 、 Notepad++ 、 PuTTY 、 the Symfony PHP framework、 VLC Media Player 和 WSO2 。

項目的前身始於 2014 年的一次事件。當時，安全研究人員在 OpenSSL 軟體庫包中發現有嚴重漏洞的存在， OpenSSL 庫是許多網站用來支持 HTTPS 連接的開源項目，漏洞影響了超過 50 萬的網路安全 Web 伺服器。

以此為契機，歐盟議員 Julia Reda啟動了項目 FOSSA （免費和開源軟體審計），以幫助提高網路的整體安全性。試點項目從 2015 年持續至 2016 年，初始預算為 100 萬歐元，最終針對 Apache HTTP Server 和 KeePass 兩個項目，收到了超過 3000 個漏洞報告。

2019 年正式開啟的第三版 FOSSA ，涉及項目的數量一下子躍升至 14 個，項目賞金從 3 萬到 9 萬歐元不等。

由不同的開發者建立的網路世界，已然成為新的現實世界的一部分，這些使用率極高的軟體則像是「城市」中的基礎設施。 FOSSA 項目介紹中表態，作為日常生活的一部分，歐盟委員會和公共行政部門有責任通過注資來確保網路世界的穩定性、可靠性和安全性。

與此同時，這些開源軟體也是歐盟數字基礎設施的重要組成部分。它們負責加密互聯網數據、保護公民的通信和財務細節，或被用於為歐洲議會、理事會和委員會運行網站。

如果此類軟體受到攻擊，黑客將可以訪問從登錄憑據到醫療文件的一系列重要內容，甚至進一步擾亂歐洲政治——通過利用軟體中的漏洞，犯罪分子可以竊取到歐盟政治系統中的重要信息，也可能讓外國間諜更輕易地進入系統。因此歐盟注資的賞金計劃，不僅是一個公共意義重大的項目，也對歐盟本身的系統安全進行了極大的補充。

類似的漏洞賞金挑戰被全世界的一些其他大型機構和部門襲用。 2016 年，美國國防部就曾邀請白帽黑客尋找軍方網路安全系統中的漏洞。運作這個被稱作「破解五角大樓」的項目，是美國政府層面有史以來首次作出這種嘗試，目前已經報告了超過5000 個有效漏洞。

數字基礎設施安全日益成為政府機構工作的要點。歐盟委員會主席 Jean-Claude Juncker 在 2017 年塔林數字峰會上說：「網路攻擊不分國界，但我們的響應能力因國家而異，造成漏洞，並引來更多的攻擊。歐盟需要更強大和有效的結構，以確保強大的網路彈性並應對網路攻擊。我們不希望成為這場全球威脅中最薄弱的一環。」

漏洞賞金計劃是一個能讓多方都獲益的計劃。來自外部的專業人士甚至自由職業者，能夠獲得經濟回報，而軟體公司和政府則能獲得前所未有的、廣泛的人力幫助，以分散原本巨大的工作量。

題圖來源於Giphy

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！