Door Anoniem: Erg jammer dat het weer eens gaat over bug bounties met een NDA. Als je een lek in zowel LibreOffice als OpenOffice vind zal je dus moeten kiezen tussen beide waarschuwen of een beloning krijgen als je alleen LibreOffice waarschuwt.
Ik zie in de "researcher terms & conditions"[1] en de "community code of conduct"[2] staan dat bedrijven ("companies") legitieme redenen kunnen hebben om kwetsbaarheden niet publiek te maken en dat een onderzoeker daarom instemt met het niet delen ervan met anderen, tenzij de onderzoeker en het bedrijf overeenkomen dat dat wel kan.
Dat is niet alleen op open source gericht maar ook op lekken bij commerciële bedrijven en in propriëtaire software. Bij open source blijven lekken niet lang onder de pet. LibreOffice heeft bijvoorbeeld als beleid dat meldingen na dertig dagen publiek gemaakt worden[3]. Met zo'n termijn geven ze zichzelf een maand ruimte om zero-day lekken op te lossen zonder dat de hel meteen losbarst, maar daar zijn naar mijn mening ook goede argumenten voor, er is werkelijk een reden om openheid even uit te stellen als direct open zijn tot grote problemen leidt.
Open source-projecten
kunnen reparaties van kwetsbaarheden (of andere bugs) helemaal niet meer dan kortstondig geheim houden, omdat de broncode, en de geschiedenis van de wijzigingen daarin, openbaar zijn. Ze zouden hun eigen licentie en hun eigen doelstellingen schenden door een fix uit te rollen zonder ook de broncode openbaar te maken. Het kan niet anders dan zeer tijdelijk zijn.
LibreOffice is van OpenOffice.org afgesplitst toen Sun was overgenomen door Oracle en daarmee OpenOffice.org onder de vleugels van Oracle belandde. Er is een flinke dosis wantrouwen tegen Oracle, en daarom werd de afsplitsing gemaakt. En die afsplitsing was succesvol, mede vanwege datzelfde wantrouwen jegens Oracle. LibreOffice werd snel populairder dan OpenOffice.org. Oracle zag er vervolgens geen brood meer in en heeft de code gedoneerd aan de Apache Foundation. Die beheert het nu.
LibreOffice als OpenOffice.org worden nu allebei beheerd door een stichting, non-profits die er niet op uit zijn om anderen kapot te concurreren maar om software goed te beheren. Omdat door de afsplitsing beide code-bases onder verschillende licenties zijn beland kan niet zomaar elke wijziging op code-niveau in het andere project worden overgenomen. Maar de reden van de afsplitsing is allang achterhaald (mede dankzij de afsplitsing), en ik heb geen enkele reden om aan te nemen dat de organisaties elkaar naar het leven staan. Mij zou het niets verbazen als informatie over kwetsbaarheden tussen beide projecten gedeeld wordt, net zoals Linux-distro's kwetsbaarheden met elkaar en met de upstream-ontwikkelaars delen. Ik zou eerder raar staan te kijken als dat niet zou gebeuren.
De basis van de Intigriti-voorwaarden is dat bedrijven de gevonden kwetsbaarheden mogelijk niet willen openbaren. De voorwaarde wordt niet gesteld omdat het Intigriti-platform zelf als doel heeft om geheimhouding op te leggen, maar om ook voor commerciële partijen een acceptabel platform te zijn. Open source-projecten zouden wel uitkijken om zich zich geheimhouding voor te laten schrijven, omdat dat het publiceren van de broncode onmogelijk zou maken, wat simpelweg niet te verenigen is met open source.
[1]
https://kb.intigriti.com/en/articles/5466165-researcher-terms-conditions[2]
https://kb.intigriti.com/en/articles/5247238-community-code-of-conduct[3]
https://www.libreoffice.org/about-us/security/