La Unión Europea premiará con hasta 90.000 euros la caza de bugs en 7zip, Drupal, KeePass y más

Más allá de la gran política y todas esas historias que con mayor o menor tino relatan los informativos diarios, la Unión Europea es un ente burocrático de considerable tamaño e importantes necesidades tecnológicas. Recientemente, además, ha tomado conciencia de la importancia de proteger sus sistemas frente a posibles ataques y fallos catastróficos, motivo por el cual ha instituido un programa con el que busca recompensar el descubrimiento de fallos en el software de código abierto utilizado en las instituciones europeas.

Lanzada tras el desastre de Heartbleed, esta iniciativa es conocida por las siglas EU-FOSSA (EU-Free and Open Source Software Auditing, o simplemente FOSSA). La segunda edición se cerró con una dotación de dos millones de euros para encontrar bugs en programas tan conocidos como VLC. Los resultados de estas convocatorias han debido resultar positivos a ojos de la Comisión, puesto que para 2019 se ha incrementado la cuantía de las recompensas, con un total de quince proyectos de código abierto a auditar.

La lista de software que se inscribirá en esta iniciativa es la siguiente:

  • 7-zip
  • Apache Kafka
  • Apache Tomcat
  • Digital Signature Services (DSS)
  • Drupal
  • Filezilla
  • FLUX TL
  • GNU C Library (glibc)
  • KeePass
  • midPoint
  • Notepad++
  • PuTTY
  • Symfony PHP (framework)
  • VLC Media Player
  • WSO2.
Las recompensas más elevadas corresponden a PuTTY (cliente telnet y SSH) y Drupal (control de contenidos), cuyo descubrimiento de bugs está financiado con partidas de 90.000 y 89.000 euros. También son notables la dotaciones del editor de texto avanzado Notepad++ (una excelente alternativa al bloc de notas de Windows) y el software de gestión de contraseñas KeePass, con 71.000 para los cazadores de fallos, así como VLC, con un total de 58.000 euros para incentivar la búsqueda de errores importantes en el popular reproductor multimedia.

La coordinación de estos proyectos se realizará mediante las plataformas HackerOne e Intigriti, con catorce de ellos arrancando durante el inminente mes de enero. Cabe señalar que no todos los programas en la lista son nuevos, puesto que KeePass y VLC ya participaron en las ediciones FOSSA 1 y FOSSA 2, respectivamente.

Fuente: ZDNet
Me parece genial que se promuevan estas iniciativas para software tan importante y Open Source :)
En mi opinión es una buena manera de mejorar la seguridad de estos programas.
Chulla está baneado por "clon de usuario baneado"
Pues a mi parece una puñetera basura incentivar el uso de software libre..

Millones de empresas y usuarios se benefician de nuestro trabajo por que algún profeta se le ocurrió la idea de hacer software gratis...

Claro.. Luego la gente se queja de para qué se ha pegado 3/4/6 años.estudiando... Y cobrar 900€

Conocéis algún ingeniero / arquitecto / abogado que ofrezca planos de gratis? Venga ya hombre!!
Chulla escribió:Pues a mi parece una puñetera basura incentivar el uso de software libre..

Millones de empresas y usuarios se benefician de nuestro trabajo por que algún profeta se le ocurrió la idea de hacer software gratis...

Claro.. Luego la gente se queja de para qué se ha pegado 3/4/6 años.estudiando... Y cobrar 900€

Conocéis algún ingeniero / arquitecto / abogado que ofrezca planos de gratis? Venga ya hombre!!

¿De donde sacas que los ingenieros de software libre trabajan gratis? ¿En serio crees que proyectos como KDE, Red Hat, todo lo relacionado con Canonical, Libreoffice, Wikipedia y compañía serían posibles con voluntarios?

Los gobiernos es de lógica que que promuevan el uso del código abierto, la seguridad basada en oscuridad está comprobado que no funciona.
La mitad de esos programas no tengo ni idea de para qué sirven [carcajad]

Y no, libre no significa gratis
Chulla escribió:Pues a mi parece una puñetera basura incentivar el uso de software libre..

Millones de empresas y usuarios se benefician de nuestro trabajo por que algún profeta se le ocurrió la idea de hacer software gratis...

Claro.. Luego la gente se queja de para qué se ha pegado 3/4/6 años.estudiando... Y cobrar 900€

Conocéis algún ingeniero / arquitecto / abogado que ofrezca planos de gratis? Venga ya hombre!!

Escuchas campanas pero no sabes dónde... Un programador que crea software libre de calidad tiene las puertas abiertas de miles de proyectos y empresas.

Yo mismo daría lo que fuese por haber creado herramientas tan maravillosas como Keepass o Filezilla. Algo creado por mí que usarán cientos de millones de personas, que me aportará fama y reconocimientos.

Entiendo que haya desarrolladores de pacotilla que crean programas que ni siquiera gratis los quiere la gente, ¿para qué venderla si ni gratis quieren tu estúpida "herramienta"? No culpes al software libre, cúlpate a ti mismo por ser un paquete. [bye]
Chulla está baneado por "clon de usuario baneado"
dark_hunter escribió:
Chulla escribió:Pues a mi parece una puñetera basura incentivar el uso de software libre..

Millones de empresas y usuarios se benefician de nuestro trabajo por que algún profeta se le ocurrió la idea de hacer software gratis...

Claro.. Luego la gente se queja de para qué se ha pegado 3/4/6 años.estudiando... Y cobrar 900€

Conocéis algún ingeniero / arquitecto / abogado que ofrezca planos de gratis? Venga ya hombre!!

¿De donde sacas que los ingenieros de software libre trabajan gratis? ¿En serio crees que proyectos como KDE, Red Hat, todo lo relacionado con Canonical, Libreoffice, Wikipedia y compañía serían posibles con voluntarios?

Los gobiernos es de lógica que que promuevan el uso del código abierto, la seguridad basada en oscuridad está comprobado que no funciona.



Yo no hablo de esa gente.. Precisamente gracias a su modelo de negocio ellos se forran, mientras la gran mayoría de trabajadores viven para trabajar.
@Chulla Trabajo para el gobierno de mi país como sysadmin y te gano muchísimo más que mis homólogos de Windows... Ni hablar de los que desarrollan aplicaciones sobre Linux, también ganan mucho más que los desarrolladores de aplicaciones Windows.
Y no hablo de que llego justo a fin de mes...
Me consta además que mi situación es la común a nivel mundial.
Ains, la ignorancia es muy mala [sonrisa]
Más vale que la UE empiece a dar dinero a personas físicas, que no que acabe en el puticlub más cercano del político de turno.
Veo que algunos os habéis metido con @Chulla, porque ha hecho un comentario que siempre duele a los defensores a ultranza del software libre. Y lo siento mucho, pero yo y muchos otros que estamos metidos desde hace años entre otras cosas en ese mundo, sabemos que hay una gran cantidad de personas colaborando con el software libre sin tener siquiera un reconocimiento. En el mejor de los casos, pueden recibir una nota en la release donde se indica que ha colaborado en X apartado o en solucionar X bug, pero por lo demás poco más (salvo excepciones).
Y precisamente no hablo de proyectos pequeños, sino de empresas que son financiadas por gobiernos e inversores. Y puedo dar claros nombres de proyectos de este tipo: Mozilla, WordPress, Drupal, Linux y un larguísimo etc.

Y sí, lógicamente estas empresas tienen empleados y hay otras personas no empleadas que también cobran dinero, eso por supuesto. Pero no todos los que se lo merecen están en esa situación, solamente un bajo porcentaje de ellos. Y si miento, que alguien demuestre que TODAS o PRACTICAMENTE CASI TODAS las personas que arreglan bugs, o añaden código a estos proyectos, así como los traductores y personal que ayuda en los foros como moderadores o usuarios expertos con miles de mensajes que ayudan a resolver problemas, son empleados y están cobrando o han recibido una compensación monetaria por ello.

Ahora va a resultar que en la informática todo el mundo está cobrando, cuando sabemos que es una industria donde hay mucha gente trabajando gratis por amor al arte. Y ojo, que esto puede ocurrir también en ciertos ambientes del software privado, pero que no nos vendan la burra de que en el software libre esto no ocurre porque es una mentira.
Pues notepad++ me corrompe a veces un archivo, aunque no lo tengo actualizado y uso textpad.
Es una buena iniciativa, mejor esto que venderle los bugs a hackers chinos o mafia que los usan con fines maliciosos.
Capturar bugs ?
Bueno cuanto pagaran por capturar a Ubisoft [+risas]
Flanders escribió:Veo que algunos os habéis metido con @Chulla, porque ha hecho un comentario que siempre duele a los defensores a ultranza del software libre. Y lo siento mucho, pero yo y muchos otros que estamos metidos desde hace años entre otras cosas en ese mundo, sabemos que hay una gran cantidad de personas colaborando con el software libre sin tener siquiera un reconocimiento. En el mejor de los casos, pueden recibir una nota en la release donde se indica que ha colaborado en X apartado o en solucionar X bug, pero por lo demás poco más (salvo excepciones).
Y precisamente no hablo de proyectos pequeños, sino de empresas que son financiadas por gobiernos e inversores. Y puedo dar claros nombres de proyectos de este tipo: Mozilla, WordPress, Drupal, Linux y un larguísimo etc.

Y sí, lógicamente estas empresas tienen empleados y hay otras personas no empleadas que también cobran dinero, eso por supuesto. Pero no todos los que se lo merecen están en esa situación, solamente un bajo porcentaje de ellos. Y si miento, que alguien demuestre que TODAS o PRACTICAMENTE CASI TODAS las personas que arreglan bugs, o añaden código a estos proyectos, así como los traductores y personal que ayuda en los foros como moderadores o usuarios expertos con miles de mensajes que ayudan a resolver problemas, son empleados y están cobrando o han recibido una compensación monetaria por ello.

Ahora va a resultar que en la informática todo el mundo está cobrando, cuando sabemos que es una industria donde hay mucha gente trabajando gratis por amor al arte. Y ojo, que esto puede ocurrir también en ciertos ambientes del software privado, pero que no nos vendan la burra de que en el software libre esto no ocurre porque es una mentira.


Si hablamos de conocimientos, hablemos de ingenieros que no tienen ni p... idea de lo que hacen y que se las dan de dioses. Ingenieros que van a parar a Microsoft o Western Digital y meten las pifiadas que meten. Y se notan que de teoría mucho, pero lo que es la práctica...

Y sí para vuestra desgracia hay gente que colabora sin pedir nada a cambio, porque entre otras cosas no estamos pensando en el cochazo que nos vamos a comprar, cada año. Por eso usamos las licencias libres, que por cierto no significa que no podamos ganar dinero. Simplemente que no somos niñatos histéricos que creemos que como nuestra obra es lo más chachi guay del mundo, tenemos que ganar millones. Tampoco tenemos que llorar por la piratería.

También es normal esta iniciativa, porque si se llega a hacer con software privativo, solo con Windows, necesitarían 10 años...

Salu2
De verdad que siento lástima por los defensores del software privativo.

Con razón el pleno siglo XXI parece que vivamos en el XV.
En que se ha convertido el mundo por dios...

La gracia del software libre es que puedes hacer lo que quieras, mientras mantengas las bases de este. Es decir, si quieres soporte, paga para ello que vale dinero. El problema no es el software libre en si, sino la gente y como se "vende".
Chulla escribió:Pues a mi parece una puñetera basura incentivar el uso de software libre..

Millones de empresas y usuarios se benefician de nuestro trabajo por que algún profeta se le ocurrió la idea de hacer software gratis...

Claro.. Luego la gente se queja de para qué se ha pegado 3/4/6 años.estudiando... Y cobrar 900€

Conocéis algún ingeniero / arquitecto / abogado que ofrezca planos de gratis? Venga ya hombre!!


Dios mio .... me acabas de dejar roto. Ademas de ser licencias de codigo abierto ... de ahi su importancia en cuanto a seguridad .... lo que realmente es triste es lo poco que conoces este mundillo. Pero hey! suerte!
En parte lo que dice el colega es cierto.

Sí, crear sofwtare libre te da fama, prestigio y todo el tema pero en la práctica quién coño paga por algo cuando lo tiene gratis?.

No sé, igual me estoy columpiando, pero cuántos de aquí pagan por un antivirus?. Alguien elige la opción premium?.

Porque yo en mi vida he pagado por uno. Siempre pillo los gratuitos como Avast y jamás he pagado por una versión premium.

El Office lo mismo, quién paga por un Office?. Igual una empresa para estar legal pero un usuario particular lo dudo. O lo tiene pirata o usa uno gratis como Openoffice.

Y así con infinidad de programas y aplicaciones.

Pero es que además las empresas muchas veces también optan por programas gratuitos para abaratar costos.

Yo para mi empresa uso programas gratis como Factusol, Openoficce, Hotmail o Gmail, Avast, etc... No está la cosa como para pagar por todo.
Chulla escribió:Pues a mi parece una puñetera basura incentivar el uso de software libre..

Millones de empresas y usuarios se benefician de nuestro trabajo por que algún profeta se le ocurrió la idea de hacer software gratis...

Claro.. Luego la gente se queja de para qué se ha pegado 3/4/6 años.estudiando... Y cobrar 900€

Conocéis algún ingeniero / arquitecto / abogado que ofrezca planos de gratis? Venga ya hombre!!

Yo creo que tu problema es que confundes terminos y no sabes de lo que hablas. Para empezar estas llamando software libre a software que se venda gratis o tenga algun tipo de licencia gratuita (que son dos cosas totalmente distintas, el software libre puede ser de pago o gratis exactamente igual que el software privativo puede ser de pago o gratis).

Y aun en el caso de que fuese ese tipo de software, muchas veces da mas dinero que softwares que se venden de manera gratuita.

Y no se si te sonara lo que es el trabajo "pro bono" que realizan muchos profesionales y que si no me equivoco empezo con los abogados precisamente.

Esto es como los lloros de que la culpa de que no tengas trabajo es de los inmigrantes que estan en tu pais y se llevan tu trabajo. Macho si eres bueno en lo que haces trabajo encuentras, pero es mas facil echarle la culpa a cosas ajenas que en la mayoria de los casos no tienen absolutamente nada que ver que reconocer la realidad.
INCUBUS escribió:En parte lo que dice el colega es cierto.

Sí, crear sofwtare libre te da fama, prestigio y todo el tema pero en la práctica quién coño paga por algo cuando lo tiene gratis?.

No sé, igual me estoy columpiando, pero cuántos de aquí pagan por un antivirus?. Alguien elige la opción premium?.

Porque yo en mi vida he pagado por uno. Siempre pillo los gratuitos como Avast y jamás he pagado por una versión premium.

El Office lo mismo, quién paga por un Office?. Igual una empresa para estar legal pero un usuario particular lo dudo. O lo tiene pirata o usa uno gratis como Openoffice.

Y así con infinidad de programas y aplicaciones.

Pero es que además las empresas muchas veces también optan por programas gratuitos para abaratar costos.

Yo para mi empresa uso programas gratis como Factusol, Openoficce, Hotmail o Gmail, Avast, etc... No está la cosa como para pagar por todo.



Existen empresas como google, red hat, hp etc que colaboran con el software libre (tienen programadores en sus plantillas y colaboran en proyectos de software libre).

Las empresas son las primeras interesadas en el software libre. Incluso microsoft tiene proyectos de software libre como net core (con licencia MIT).
¿y si el problema de los sueldos bajos en España es del software libre porque en el resto de la unión europea se paga mucho más? ¿Es que allí no tienen acceso al software libre? ¿no lo usan?

Aparte de eso, hay un montón de noticias de EEUU por ejemplo introduciendo backdoors en hardware y en software, teniendo en cuenta eso, yo diría que mejor tener un código software que puedas revisar y asegurarte que no te esta espiando otro pais, ¿no? ¿o mejor código privativo, que no sepas que esta haciendo y si alguien esta espiando o si no se esta cifrando correctamente los datos?.
El modelo de negocio en software privativo está herido de muerte desde hace ya algunos años.
Sólo hay que ver los movimientos que han hecho y están haciendo las grandes para darse cuenta de este hecho.

Quien crea todavía que se puede hacer rico con el desarrollo de una aplicación con licencia privativa...que Linus Torvalds se apiade de su alma.
La lista de programas es un poco rara. Si la finalidad de la iniciativa es corregir bugs de seguridad en programas críticos, ¿no deberían haber puesto otra clase de programas?

No veo ningún navegador (un vector importante de ataques), suites ofimatico (recuerdo la era de macros malignas... ¿ya no tienen amenazas similares?) o lectores PDF (.PDF con javascript maligno o que explota vulnerabilidades)... o el mismo kernel linux presente en muchos servidores y smartphones...

En su lugar tenemos un editor de texto como Notepad++ que se usa para programar pero que las soluciones especializadas le dan mil vueltas (¿quién atacaría instituciones y empresas apuntando a Notepad++?).

7-Zip... No pensaba que bugs en los compresores fuesen una gran amenaza de seguridad. Supongo que puedes atacarles usando un comprimido mal formateado, explotando vulnerabilidades... pero no me parece una forma común de atacar.

( Originalmente pensé que era un poco ridículo cazar bugs de un reproductor como VLC, habiendo tantos disponibles (la fragmentación haría que los ataques no fuesen muy efectivos)... pero luego pensé que VLC debe de estar bastante extendido por ser una opción comoda para empresas e instituciones por venir con todos los codecs incluidos, sin tener que instalar packs aparte )
Chulla escribió:Pues a mi parece una puñetera basura incentivar el uso de software libre..

Millones de empresas y usuarios se benefician de nuestro trabajo por que algún profeta se le ocurrió la idea de hacer software gratis...

Claro.. Luego la gente se queja de para qué se ha pegado 3/4/6 años.estudiando... Y cobrar 900€

Conocéis algún ingeniero / arquitecto / abogado que ofrezca planos de gratis? Venga ya hombre!!


[facepalm]
Joder en la versión móvil q te pone arriba las noticias con muy poca Info pone, La UE pagara por bugs, bugisoft!!! [carcajad]
Odioregistrarme escribió:No veo ningún navegador (un vector importante de ataques), suites ofimatico (recuerdo la era de macros malignas... ¿ya no tienen amenazas similares?) o lectores PDF (.PDF con javascript maligno o que explota vulnerabilidades)... o el mismo kernel linux presente en muchos servidores y smartphones...


Quizás, teniendo en cuenta que hay cierto software libre de cierta fama ¿no sería oportuno pensar en que lo están haciendo para mejorar la seguridad de ese software que pasa más desapercibido y que puede ser que esté un poco más dejado de lado? Seguro que hay más miradas puestas en los posibles bugs del kernel, Libre Office o Firefox que en los 7-zip o ese Notepad que dices.
DJ Deu escribió:De verdad que siento lástima por los defensores del software privativo.

Con razón el pleno siglo XXI parece que vivamos en el XV.


Y como viviamos en el XV? xD
Chulla escribió:Pues a mi parece una puñetera basura incentivar el uso de software libre..

Millones de empresas y usuarios se benefician de nuestro trabajo por que algún profeta se le ocurrió la idea de hacer software gratis...

Claro.. Luego la gente se queja de para qué se ha pegado 3/4/6 años.estudiando... Y cobrar 900€

Conocéis algún ingeniero / arquitecto / abogado que ofrezca planos de gratis? Venga ya hombre!!

El tema de sueldo ya sabemos como va la cosa y solo es por culpa de gente que pasa por el aro y gente que esta desesperada y se aprovechan, es algo que salpica a todos los sectores. No es por culpa de que se haga un producto a bajo o ningun coste.
Sólo por el hecho de desarrollar software libre o ayudar en webs e resolución de problemas de forma gratuita te abre puertas, lo añades al curriculum y las empresas ya se ven atraidas.

Por otro lado, esto beneficia a todo el mundo porque herramientas como notepad++ son utilizadas por gran cantidad de desarrolladores en la empresa privada, y de no ser open source muchos no podrían utilizarlo en sus empresas.
Odioregistrarme escribió:La lista de programas es un poco rara. Si la finalidad de la iniciativa es corregir bugs de seguridad en programas críticos, ¿no deberían haber puesto otra clase de programas?

No veo ningún navegador (un vector importante de ataques), suites ofimatico (recuerdo la era de macros malignas... ¿ya no tienen amenazas similares?) o lectores PDF (.PDF con javascript maligno o que explota vulnerabilidades)... o el mismo kernel linux presente en muchos servidores y smartphones...

En su lugar tenemos un editor de texto como Notepad++ que se usa para programar pero que las soluciones especializadas le dan mil vueltas (¿quién atacaría instituciones y empresas apuntando a Notepad++?).

7-Zip... No pensaba que bugs en los compresores fuesen una gran amenaza de seguridad. Supongo que puedes atacarles usando un comprimido mal formateado, explotando vulnerabilidades... pero no me parece una forma común de atacar.

( Originalmente pensé que era un poco ridículo cazar bugs de un reproductor como VLC, habiendo tantos disponibles (la fragmentación haría que los ataques no fuesen muy efectivos)... pero luego pensé que VLC debe de estar bastante extendido por ser una opción comoda para empresas e instituciones por venir con todos los codecs incluidos, sin tener que instalar packs aparte )


la cosa no va solamente de cazar agujeros de seguridad, sino tambien cualquier otro tipo de bugs o anomalias. y la iniciativa cubre programas que, como ha descrito alejo en el post de la noticia, son usados de manera extensiva por la administracion de la UE en su plataforma de software.

a mi me parece una iniciativa excelente.
INCUBUS escribió:En parte lo que dice el colega es cierto.

Sí, crear sofwtare libre te da fama, prestigio y todo el tema pero en la práctica quién coño paga por algo cuando lo tiene gratis?.

No sé, igual me estoy columpiando, pero cuántos de aquí pagan por un antivirus?. Alguien elige la opción premium?.

Porque yo en mi vida he pagado por uno. Siempre pillo los gratuitos como Avast y jamás he pagado por una versión premium.

El Office lo mismo, quién paga por un Office?. Igual una empresa para estar legal pero un usuario particular lo dudo. O lo tiene pirata o usa uno gratis como Openoffice.

Y así con infinidad de programas y aplicaciones.

Pero es que además las empresas muchas veces también optan por programas gratuitos para abaratar costos.

Yo para mi empresa uso programas gratis como Factusol, Openoficce, Hotmail o Gmail, Avast, etc... No está la cosa como para pagar por todo.


Pues en particular muchas empresas pagan por soporte, que si tienes cualquier problema van a dar prioridad a tus tickets frente a los de la gente que no paga, o también los hay que pagan por formación/consultoría de los que lo mantienen, otros pagan porque sí, si el autor o autores tienen un patreon muchas empresas aportan puntualmente o mensualmente si es de un software que usan, otras incluso aportan contratando a gente para mantener el software que usan, algunos pagan por servicios extra que no están incluidos en la parte libre. Hay mil formas de hacer dinero con el software libre, pero normalmente renta más ofrecérselo a empresas que a particulares, porque si una parte grande del negocio de la empresa depende de dicho software les interesa que vaya bien y esté bien mantenido.

Yo llevo ya muchos años colaborando en algunos proyectos y mis dos últimos curros han sido gracias a ello, y eso que aún no tengo ni fama ni prestigio.
Nova6K0 escribió:
Si hablamos de conocimientos, hablemos de ingenieros que no tienen ni p... idea de lo que hacen y que se las dan de dioses. Ingenieros que van a parar a Microsoft o Western Digital y meten las pifiadas que meten. Y se notan que de teoría mucho, pero lo que es la práctica...



Salu2


Los ingenieros que no tienen ni idea tienen que conseguir trabajo ganándose la confianza de los empresarios que controlan las empresas para que les enchufen en las empresas. ¿Sabes lo difícil que es eso?. Tienes que tener don de gentes, ser como los políticos. Tienes que convencer de que sabes mucho cuando en realidad no sabes nada.
33 respuestas