EDICIóN GENERAL
309 meneos
1570 clics
La UE ofrece recompensas por encontrar fallos de seguridad en herramientas open source

La UE ofrece recompensas por encontrar fallos de seguridad en herramientas open source

El programa ofrecerá recompensas para todos aquellos profesionales de la ciberseguridad que sean capaces de detectar potenciales fallos de seguridad en 14 herramientas open source muy empleadas en diferentes instituciones de la Unión Europea. Entre las herramientas incluidas se encuentran plataformas tan populares como VLC, 7-zip, Drupal y FileZilla, entre otras.

| etiquetas: ue , recompensas , fallos de seguridad
Comentarios destacados:            
#10 #5 #7 Que el código sea de libre acceso, no implica que el tiempo de los profesionales ciberneticos invertido en buscar fallos, sea gratis.
Todo trabajo debe ser remunerado, no "recompensado" {0x1f525}
¿Drupal? Pues van a repartir mas dinero que el euromillón.
#1 Tan malo no debia ser cuando la casa blanca lo uso mas de 8 años. Si finalmente pusieron WP, pero si tan mal fuera... en ocho años han tenido tiempo de decirlo.
#1 ¿Qué tiene de malo Drupal frene a otros CMS en cuanto a la seguridad? Lo pregunto sin tener conocimiento del mudo del desarrollo web y la administración web. He leído de diversas fuentes ya que el código de Drupal está bastante cuidado y que su comunidad hace un buen seguimiento de fallos de seguridad, a diferencia de otros más populares.
#19 nada, es un comentario cuñado ;(
Titular alternativo {0x1f525}

"La UE ofrece "recompensas" para todos aquellos profesionales de ciberseguridad, que quieran trabajar para ellos gratis."
#2 son herramientas OpenSource... No tiene ningún sentido pagar una auditoría informática para que analicen un software que cualquiera pueda ver el código...
#5 Invertir en seguridad en herramientas que utilizan los ciudadanos de la UE tiene todo el sentido del mundo, con independencia de si el código es público o no.
#6 una de las ventajas de usar OpenSource es que todo el mundo puede auditar los programas y descubrir fallos de seguridad.

Si hablásemos de software privativo pues tiene sentido que se contraté una auditoría, pero con software libre es mejor ofrecer recompensas a los programadores que descubren los fallos del sistema
#8 No entro en cual de los modelos es mejor, en ambos casos se está invirtiendo en seguridad.
#8 Según esa lógica, ¿Por que se contrata barrenderos?, si cualquier puede recoger un papel del suelo...
Por otro lado, razón de más para que se audite y use software open source, pídele tu a Microsoft que quieres auditarle el código y me dices donde te manda.
#12 Pero no se paga a los ciudadanos por usar las papeleras y no tirar basura al suelo, y tampoco se dan recompensas por recoger papeles o colillas a quienes caminen por las aceras.
#16 A ver, no lo veo tan complicado... Sinceramente, se están ahorrando una pasta en licencias usando software libre, siendo software libre pueden auditarlo y ver fallos o puertas traseras, cosa que no pueden hacer con software privativo como por ejemplo MicrosoftOffice, o al menos no es igual de fácil. Además es software que usa mucha gente, por lo que, incentivando la mejora de su seguridad, se aseguran no tener lios tanto en infraestricturas como ayuntamientos, escuelas, organizaciones como…   » ver todo el comentario
#16 ¿Es que se paga acaso a los usuarios por usar software? ¿Por no usarlo? Sin embargo, si recoges ciertos metales, cartón e incluso depositas otras cosas como por ejemplo cartuchos de toner vacíos o pilas de lítio en el punto de reciclaje, te abonan una pequeña cantidad, así que mejor me lo pones. Pero no quiero seguir por ahí por que era simplemente un símil, no veo tan difícil de entender lo que comento en #45
#12 pídele tu a Microsoft que quieres auditarle el código y me dices donde te manda.

No se me ocurre un motivo por el que alguien quier auditar el código de... imagino que te refieres al código de Windows...
#25 A ti cuando te piden un vaso de agua te explota la cabeza ¿No? Me pregunto si eres humano o un replicante.
#31 Yo también me lo pregunto cada poco... y creo que es buena cosa preguntarse ese tipo de cosas :-D

Pero cuando alguien me pide un vaso de agua, le doy un vaso de agua.
#39 De replicante a replicante, ¿Fabricas el vaso de agua congelándola primero con nitrógeno líquido o bien utilizas el duodécimo estado de la materia? ¿En el segundo caso, como evitas que mueran los humanos que tocan el recipiente? Llevo 3 muertos con el segundo caso y 6 con la mano amputada en el primero. Los humanos siguen llamando "vaso de agua" a un vaso de cristal (u otro elemento) con agua dentro pero yo estoy programado para no hacer trampas.
#40 Tengo por aquí unas cuantas garrafas con 8 L de agua líquida en su interior; porque la que sale por el grifo sólo sirve para lavar platos... y cuando alguien me pide un vaso de agua, lleno un vaso de cristal con el líquido de una de las garrafas. Hasta el momento no ha habido accidentes que no se pudiesen solucionar con una fregona*

* mocho que va en el extremo de una vara de madera o metal (en el otro extremo suele haber un humano en posición erguida...).
#41 Tu programación es sin duda alguna muy revolucionaria. Vas a ser el terror de los blade runners.

Edit: He tenido que buscar "garrafa". Gran invento pero tampoco "es de agua" aunque contenga agua líquida.
#12 Se contratan barrenderos por el mismo motivo que se contratan programadores para hacer y mantener esos programas. Porque es un trabajo que requiere profesionalidad y no un voluntario que a lo mejor hoy le apetece barrer/programar o a lo mejor no.

Pero si a un voluntario le apetece barrer, más bien reciclar o llevar chatarra a un punto de recogida, el que te recoge la chatarra normalmente te paga y el que te recoge los productos reciclables, envases retornables, también lo puede hacer. No…   » ver todo el comentario
#5 #7 Que el código sea de libre acceso, no implica que el tiempo de los profesionales ciberneticos invertido en buscar fallos, sea gratis.
Todo trabajo debe ser remunerado, no "recompensado" {0x1f525}
#10 ese tiempo lo van a dedicar igual muchos de ellos, como llevan haciendo años, al menos con esto alguien pone dinero para que se les recompense.
#10 En muchos casos recompensarán por reportar los fallos que se hayan encontrado usando dicho software, no por buscarlos.
#15 Como norma general no se reporta un 'fallo' así sin mas ... cuando se reporta una vulnerabilidad, se proporciona un paper no solo describiendola y la secuencia para reproducirla, si no ademas se detalla como explotarla, y en muchos casos como parchearla.

Y eso amigo mio requiere de un estudio minucioso del código, en definitiva trabajo. Cuantioso trabajo.
#10 Yo lo de "encontrar fallos" lo veo un poco más allá de auditar el código. Administradores de sistemas pueden encontrarse con fallos que tienen más que ver con el desempeño en plataformas de hardware menos habituales... en uptimes de los de verdad y reportarlos.
#10 Sí, todo trabajo debe ser remunerado pero también todo trabajo requiere un compromiso y que el empleado trabaje las horas estipuladas bajo el mandato de su jefe. Aquí no hay jefe ni hay compromiso, si quieres lo haces y si no lo dejas, así que ¿qué remuneración quieres? Lo que hay aquí es una compra venta, tú tienes un bug y ellos te lo compran.
#5 gañanada de las 10:34 ! Tiene todo el sentido del mundo. Primero, la seguridad no depende de ocultar el código. Segundo, el software que todas las administraciones públicas deberían estar usando debería ser libre. Tercero, es dinero de la sociedad que repercute directamente en el beneficio de ésta.
#2 Eso no tiene sentido, puesto que son herramientas open source y no pertenecen a la Unión Europea, ni la han desarrollado ni tienen ningún tipo de relación con ellas.

La UE ofrece recompensas en este caso por encontrar fallos en herramientas que usan pero que no son de su propiedad, de hecho todas estas aplicaciones aunque sean OpenSource las administran empresas variadas que nada tienen que ver con la UE.
#7 Claro que son de la UE... precisamente el software libre es de TODOS. Tiene todo el sentido apoyarlo desde las instituciones públicas y más si hacen uso de herramientas open source.
#7 te parece poca relación que lo están usando masivamente?
#2 Que nadie te obliga a hacerlo, y para algunos es un reto más que una forma de ganar dinero
Me gusta la iniciativa. El listado completo de software:

Filezilla
Apache
Notepad++
PuTTY
VLC
FLUX
KeePass
7-zip
Digital
Drupal
GNU
PHP
Apache
WSO2
midPoint
#13 PHP no, el framework Symfony para PHP. Ni apache a secas, que se puede confundir con el servidor web. La lista exacta sacada de la web de referencia de la noticia es :

The 14 projects are, in alphabetical order, 7-zip, Apache Kafka, Apache Tomcat, Digital Signature Services (DSS), Drupal, Filezilla, FLUX TL, the GNU C Library (glibc), KeePass, midPoint, Notepad++, PuTTY, the Symfony PHP framework, VLC Media Player, and WSO2.

www.zdnet.com/article/eu-to-fund-bug-bounty-programs-for-14-open-sourc
#17 Filezilla ¿el servidor, el cliente o ambos?. Tendría más sentido que fuese el servidor.
#34 creo que es el mismo proyecto. No veo que tenga repositorios separados.
#37 Sí, es el mismo proyecto. Seguramente sean ambos porque si no especificarían.
#17 Copié solo primera columna separada por espacio sin fijarme que algunos eran más de una palabra... Gracias por apuntarlo.
Y si empezó el declive económico de la UE, niños.
#20 "y así..."
Sorry
#22 nono, me refería que que tiene que ver
#18. Niños, esto es Sodoma y Gomorra. ¡Tapaos los ojos, por favor sus lo pido!
Qué niveles de degeneración... es el principio del fin.
#interesante... Putty... Keepass ...
Oh. Genial.

Y por fallos y vulnerabilidades en software privativo licenciado y pagado a millón, qué dan?

(A bote pronto, por ejemplo, en Windows y en Oracle, por decir dos)

menéame