image

Europese Commissie gaat kwetsbaarheden in VLC belonen

vrijdag 1 december 2017, 09:53 door Redactie, 23 reacties

De Europese Commissie is voor het eerst een zogeheten bug bounty-programma gestart waarbij het hackers en onderzoekers gaat belonen voor het rapporteren van kwetsbaarheden in VLC media player. Het gaat om beloningen met een bedrag van maximaal 3000 euro. Het beloningsprogramma zal doorlopen tot de eerste weken van januari 2018 of totdat het budget op is, zo laat het Open Source Observatory (OSOR) van de Europese Commissie weten.

Het beloningsprogramma heeft de Europese Commissie uitbesteed aan HackerOne. Dit is een platform dat softwarebedrijven, overheden en andere organisaties in staat stelt om beloningsprogramma's voor hackers te starten en de coördinatie tussen de bugmelder en softwareleverancier of kwetsbare partij afhandelt. In de eerste fase van het beloningsprogramma zullen hackers worden uitgenodigd die eerder op HackerOne actief zijn geweest. Na drie weken kan iedereen bugmeldingen inzenden.

Vorig jaar stemde het Europees Parlement om 2 miljoen euro vrij te maken voor een opvolger van het EU-Fossa-project, waarbij opensourcesoftware werd geaudit. Door het geld kan de Europese Commissie nu een nieuwe pilot starten waarbij beloningen voor kwetsbaarheden worden uitgekeerd, met een nadruk op opensourcesoftwareprojecten en -bibliotheken waar Europese instellingen gebruik van maken. VLC is een populaire opensourcemediaspeler die op alle workstations van de Europese Commissie is geïnstalleerd.

Reacties (23)
01-12-2017, 10:09 door Anoniem
Ik zou het wel mooi vinden als niet alleen degene die een bug meldt een beloning krijgt maar als ook het VLC-project zelf hetzelfde bedrag krijgt als bijdrage voor het verhelpen van de bug.
01-12-2017, 10:21 door Anoniem
Wanneer komt de Europese Commissie eens met een project waarbij ik denk ''daar hebben we als burger ook wat aan'' ? Het is een in zichzelf gekeerde bende, die eigenlijk alleen luistert naar de lobby vanuit de industrie.
01-12-2017, 10:43 door Anoniem
De Europese Commissie wordt niet eens gekozen.
Dus wat is de waarde van welk besluit dan ook dat van hun afkomstig is?
01-12-2017, 11:00 door karma4 - Bijgewerkt: 01-12-2017, 19:12
De Europese commissie die zich rechtstreeks met producten op de commerciële markt bemoeit. Ik las haast dat ze zich met vhs apparatuur gingen bemoeien.
01-12-2017, 11:02 door Anoniem
Door Anoniem: Ik zou het wel mooi vinden als niet alleen degene die een bug meldt een beloning krijgt maar als ook het VLC-project zelf hetzelfde bedrag krijgt als bijdrage voor het verhelpen van de bug.
Op zich best een aardig idee, alleen is dit wel erg makkelijk te misbruiken. De ontwikkelaars van VLC kunnen dan gewoon expres bugs ontwikkelen en (laten) melden om meer geld op te halen...
01-12-2017, 11:12 door Anoniem
Door Anoniem: Ik zou het wel mooi vinden als niet alleen degene die een bug meldt een beloning krijgt maar als ook het VLC-project zelf hetzelfde bedrag krijgt als bijdrage voor het verhelpen van de bug.

ik geloof niet dat dat een 'goed' signaal afgeeft aan de ontwikkelaards. Het doel is toch een media speler ontwikkelen met zo min mogelijk bugs?
01-12-2017, 11:53 door Anoniem
Door Anoniem: De Europese Commissie wordt niet eens gekozen.
Dus wat is de waarde van welk besluit dan ook dat van hun afkomstig is?

De dag dat Nederland onmerkbaar via het Verdrag van Lissabon lid werd van de E.U. stierf de democratie.
01-12-2017, 12:11 door Anoniem
Ik hoop dat de titel bedoeld word "het vinden van de bug" beloond word, en niet het maken van de bug? ;)
01-12-2017, 12:45 door Briolet
3000 euro klinkt niet veel voor een goede exploit.

Dit programma geeft ook het risico dat wel er meer mensen gaan zoeken naar bugs, maar bij het vinden van een bruikbare exploit, deze elders verkopen tegen een hogere vergoeding.
01-12-2017, 12:54 door Anoniem
Door Anoniem: Ik zou het wel mooi vinden als niet alleen degene die een bug meldt een beloning krijgt maar als ook het VLC-project zelf hetzelfde bedrag krijgt als bijdrage voor het verhelpen van de bug.

Wellicht kan de bug rapportage vergezeld gaan met een patch
01-12-2017, 13:17 door Joep Lunaar
Door Anoniem: De Europese Commissie wordt niet eens gekozen.
Dus wat is de waarde van welk besluit dan ook dat van hun afkomstig is?
De EU is een complexe organisatie waarvan de belangrijkste onderdelen rechtstreeks dan wel indirect zijn gekozen.

Direct gekozen zijn de leden van het Parlement.
De leden van de Raad van Ministers (afgevaardigden van de lidstaten, afhankelijk van het beleidsterrein) en de Europese Raad (de vergadering van de premiers van de lidstaten) zijn benoemd/afgevaardigd of al dan niet direct verkozen door de lidstaten in overeenstemming met de eigen nationale constitutie.
De Voorzitter van de Commissie worden benoemd op voordracht van de Europese Raad van Ministers door het Parlement; de overige leden worden benoemd door de Voorzitter van de Commissie na goedkeuring door het Parlement.
Tenslotte, elke lidstaat benoemd een lid van het Europese Hof van Justitie.
Veel van de besluiten van de EU zijn van Commissie of Raad en het Parlement gezamenlijk.

Er valt zeker wat af te dingen op de Commissie, maar je kan niet zeggen dat ze niet "gekozen" zijn.
01-12-2017, 13:39 door Anoniem
Door Joep Lunaar: [
Veel van de besluiten van de EU zijn van Commissie of Raad en het Parlement gezamenlijk.

Het parlement mag alleen maar ja of nee zeggen.
Het heeft zelf totaal géén inbreng.
01-12-2017, 14:36 door Anoniem
3000 euro klinkt niet veel voor een goede exploit.

Indien gebruikers dat aan je betalen, voor een open source pakket, zonder dat ze er commercieel geld aan verdienen ? Ik zou het weinig vinden indien het ging om een betaald produkt, van een commercieel bedrijf.

De Europese commissie die zich rechtstreeks met producten op de commerciële markt bemoeit

Wat is er commercieel aan een gratis open source produkt ?
01-12-2017, 15:02 door Anoniem
Ik vind er toch wel wat proliferatie gevaar aan kleven.
EU is dat zitten op een eiland dan?

Wie zegt niet dat men op de echt goede bugs zal gaan zitten en die gaat slijten aan (overheids) partijen,
die ze meestal niet met anderen delen en geheim houden om zo lang mogelijk te gebruiken/misbruiken.

Denkt u niet dat het DRM-Copyright circus geen vingertje in de pap wenst hier?

Leefden we in een voor ieder ideale EU, dan was het geheel iets anders.
Maar allemaal weten of voelen we wel aan, dat dat niet het geval hoeft te zijn.
01-12-2017, 15:46 door Anoniem
Door Anoniem: Ik vind er toch wel wat proliferatie gevaar aan kleven.
EU is dat zitten op een eiland dan?

Wie zegt niet dat men op de echt goede bugs zal gaan zitten en die gaat slijten aan (overheids) partijen,
die ze meestal niet met anderen delen en geheim houden om zo lang mogelijk te gebruiken/misbruiken.

Denkt u niet dat het DRM-Copyright circus geen vingertje in de pap wenst hier?

Leefden we in een voor ieder ideale EU, dan was het geheel iets anders.
Maar allemaal weten of voelen we wel aan, dat dat niet het geval hoeft te zijn.

Eenvoudig antwoord dat je had geweten als je het artikel had gelezen:
Het beloningsprogramma heeft de Europese Commissie uitbesteed aan HackerOne.

Peter
01-12-2017, 16:03 door Anoniem
Door Anoniem: Op zich best een aardig idee, alleen is dit wel erg makkelijk te misbruiken. De ontwikkelaars van VLC kunnen dan gewoon expres bugs ontwikkelen en (laten) melden om meer geld op te halen...
Zou het slag mensen dat een groot risico op misbruik oplevert hetzelfde slag mensen zijn dat ervoor kiest zijn werk gratis weg te geven en zo de kans op beloning te reduceren? Ik vermoed dat dat wel meevalt.
01-12-2017, 16:16 door Anoniem
Door Anoniem:
De Europese commissie die zich rechtstreeks met producten op de commerciële markt bemoeit

Wat is er commercieel aan een gratis open source produkt ?
Niets. Karma4 houdt er echter erg van om te doen alsof het wel zo is.
01-12-2017, 16:32 door Anoniem
Zou het slag mensen dat een groot risico op misbruik oplevert hetzelfde slag mensen zijn dat ervoor kiest zijn werk gratis weg te geven en zo de kans op beloning te reduceren?

Zijn die zaken gerelateerd dan ? Het klinkt net alsof ontwikkelaars opzettelijk bugs in hun software inbouwen. En dan alleen indien ze betaald worden voor hun werk ?
01-12-2017, 18:27 door Anoniem
Door Anoniem: Zijn die zaken gerelateerd dan ? Het klinkt net alsof ontwikkelaars opzettelijk bugs in hun software inbouwen. En dan alleen indien ze betaald worden voor hun werk ?
Goede kans dat mensen die ervoor kiezen om hun werk gratis ter beschikking te stellen gemiddeld genomen niet direct de eersten zijn die geneigd zijn om via valsspelen meer geld binnen te slepen de bedoeling is. Met een graaimentaliteit hadden ze wel een andere bezigheid bedacht dan open source-software maken, lijkt me. Daarom reageerde ik zo op mensen die direct aannamen dat je de deuren voor valsspelen openzet als je ook een project waarvoor bugs zijn gevonden geld toespeelt om ze te steunen bij het oplossen van die bugs.
01-12-2017, 18:39 door Briolet - Bijgewerkt: 01-12-2017, 18:39
Door Anoniem:
Door Anoniem: Op zich best een aardig idee, alleen is dit wel erg makkelijk te misbruiken. De ontwikkelaars van VLC kunnen dan gewoon expres bugs ontwikkelen en (laten) melden om meer geld op te halen...
Zou het slag mensen dat een groot risico op misbruik oplevert hetzelfde slag mensen zijn dat ervoor kiest zijn werk gratis weg te geven en zo de kans op beloning te reduceren? Ik vermoed dat dat wel meevalt.

Verder is het open source dat via git loopt. Je kunt dus elke regel code die veranderd wordt, aan één van de huidige 466 contributors toewijzen. Als je een verdachte bug introduceert, moet je later ook nog kunnen verklaren waarom je die regel(s) moest aanpassen of toevoegen.
01-12-2017, 20:09 door karma4
Door Anoniem: ....
De Europese commissie die zich rechtstreeks met producten op de commerciële markt bemoeit

Wat is er commercieel aan een gratis open source produkt ?
Het is commercieel omdat er andere apparatuur en content mee verkocht wordt. Daar wordt flink verdiend.

Een paar niet ware uitspraken:
- stichting brein is een kon profit organisatie die zich niet bemoeid met inkomsten voor content.
- bij aanschaf van opslagmedium wordt er geen geld doorgesluisd naar de muziek en filmindustrie.

Je ziet een grote commerciële wereld waar veel geld rondgeschoven wordt. Dan moet er voor afspelen ook nog eens overheidssteun aan te pas komen onder het mom van oss.
Ik noemde Verolme omdat iets wat commercieel niet vatbaar is het alleen als volledig staatsbedrijf het nog redt.
De achterliggende industrie muziek film etc is geen overheidstaak.
01-12-2017, 20:47 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: De Europese Commissie wordt niet eens gekozen.
Dus wat is de waarde van welk besluit dan ook dat van hun afkomstig is?

De dag dat Nederland onmerkbaar via het Verdrag van Lissabon lid werd van de E.U. stierf de democratie.

Ja hoor, nog een paar reacties verder duiken we weer in de stasi archieven van Arthur Honnecker.
Nog meer suggesties?
Bij de bulk!
maar hier slechts één, vooruit dan:
...Kijkt Josef Stalin mee vanuit zijn graf via een interactieve uit-het-hiernamaals wifi verbinding met het Nederlandse sleepwet main frame, en geeft zinnige suggesties aan het Nederlandse kabinet dat al is vervangen door klonen, vergiftigd met het nationaal socialistisch erfgoed, die in het geheim zijn gemaakt van alle huidige ministers in een ondergronds laboratorium opgezet door Josef Mengele in 1957 in Buenos aires, Argentinië.

ik durf geen VLC meer aan te raken want de democratie is dood!
01-12-2017, 21:01 door Anoniem
hoppa ik heb volgende week 6 k in de pocket
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.