Ouvert depuis le 1er janvier 2019, ce programme de chasse au bugs finance l’amélioration d’une quinzaine logiciels libres dont KeePass, VLC, 7-zip, Drupal et FileZilla.
La nouvelle est annoncée sur twitter par Julia Reda, députée européenne et membre du Parti Pirate un programme de « bug bounty » récompensant les découvertes de faille dans des logiciels open source est lancé par l’Union Européenne.
Le programme dénommé FOSSA e (Free and Open Source Software Audit) est en fait reconduit. Le projet a vu sa première édition lancée dès 2015, suite à la découverte de failles dans le protocole OpenSSL en 2014, comme le précise la députée sur son site. Elle commente :
« Beaucoup de gens ont alors pris conscience de l’importance des logiciels libres et open source pour l’intégrité et la fiabilité d’Internet et d’autres infrastructures. Comme bien d’autres organisations, des institutions comme le Parlement européen, le Conseil et la Commission s’appuient sur des logiciels libres pour leurs sites web et beaucoup d’autres choses. Mais Internet n’est pas seulement crucial pour notre économie et notre administration. Nos vies quotidiennes reposent sur son infrastructure. C’est par ce moyen que nous retrouvons des informations et agissons politiquement. »
La députée ajoute par ailleurs qu’elle se donne pour objectif d’attribuer au projet FOSSA un budget permanent.
FOSSA a consisté à ses débuts en un inventaire des solutions open source utilisées par les institutions européennes ainsi que d’une analyse de la sécurité par les développeurs des projets de la Commission et du Parlement. Ainsi les premiers travaux ont débouché sur un audit de sécurité des solutions Apache et KeePass. Le programme était alors doté d’un million d’euros de budget. C’est en 2017 que FOSSA a pris la direction d’un programme de récompense pour la découverte de failles dans des projets libres ciblés, donnant lieu à des hackathons réunissant la communauté open source et les institutions européennes.
Depuis le début de cette année, la Commission Européenne a relancé le bug bounty en ciblant 15 solutions open source, pour des durant différentes pour chaque solution. Les primes varient de 25.000 à 90.000 euros.
Les projets ciblés sont les suivants :
7-zip, Apache Kafka, Apache Tomcat, Digital Signature Services (DSS), Drupal, Filezilla, FLUX TL, la bibliothèque standard GNU C Library (glibc), le gestionnaire de mots de passe KeePass, midPoint, Notepad++, PuTTY, le framework Symfony PHP, le lecteur multimédia VLC Media Player et WSO2.