FOSSA (Free and Open Source Software Audit) è il nome di un programma dell’Unione Europea che mira a premiare gli sviluppatori in grado di rilevara bug all’interno dei software Open Source. Nato nel 2014, questo progetto è stato concepito in particolare per incrementare il livello di sicurezza delle applicazioni libere utilizzate in ambito istituzionale.
FOSSA è stato replicato anche per il 2019 grazie ad un’iniziativa di Julia Reda, parlamentare europea militante nelle fila del Partito Pirata, e si presenta come una vera e propria campagna per il bug hunting, esattamente come avviene nel caso di grandi aziende dell’high tech tra cui Google e Microsoft che richiedono contributi esterni per individuare criticità nei propri software.
Le applicazioni selezionate per questa edizione del programma sono in tutto 15, molte delle quali rappresentano soluzioni di uso comune presso gli sviluppatori: FileZilla, Apache Kafka, Notepad++, PuTTY, VLC Media Player, FLUX TL, KeePass, 7-zip, DSS (Digital Signature Services), Drupal, GNU C Library (glibc), PHP Symfony, Apache Tomcat, WSO2 e midPoint.
Ma quanto si potrà guadagnare scovando una vulnerabilità in uno di questi software Open Source? Molto dipenderà dall’importanza del bug rilevato e del programma stesso, si parte quindi da un minimo di 25 mila euro fino ad un massimo di 90 mila. Per il momento le specifiche sono ancora in fase di definizione ma è possibile fare riferimento al blog della Reda per ulteriori informazioni.
I programmi bug bounty sono oggi sempre più diffusi nei contesti enterprise, ma meriterebbero un’ulteriore estensione in ambito istituzionale, tali iniziative si rivelano infatti particolamente utili quando si desidera scoprire eventuali falle che, se ignorate, potrebbero portare alla compromissione di un sistema o alla perdita di dati sensibili.