Hlavní navigace

EU prověří bezpečnost open-source, začne s Apache HTTP server a KeePass

David Slížek 20. 7. 2016

V rámci pilotního programu FOSSA nechá Evropská komise provést audit kódu dvou populárních open-sourcových řešení. Co z toho bude?

Je to dobrý úmysl – ale v praxi to s ním může dopadnou všelijak. Projekt FOSSA (Free and Open Source Security Audit) nastartovala Evropská komise na konci roku 2014. Má přinést bezpečnostní audity open-sourcových řešení, která používá Evropský parlament a Evropská komise, a ve výsledku se tak má postarat o vylepšení současných open-source aplikací. Do vínku dostal rozpočet milion eur.

Po měsících ticha vyplněných vypracováváním sady metodik, studií a zadání se teď FOSSA dostává k reálným testům. Prvními na řadě budou manažer hesel KeePass a Apache HTTP Server. Ve veřejném hlasování o tom rozhodly hlasy 3282 respondentů.

Na třetím místě skončil mimochodem VLC Media Player a hned za ním Linux (nebo aspoň některé jeho komponenty). 


Autor: FOSSA EU

Bezpečnostní audity má provést konzultační firma Everis, která se teď chystá oslovit vývojářské týmy stojící za KeePass a Apachem. Výsledky testů jim pak předá, aby mohly provést případné opravy.

Má to smysl?

Za celým projektem stojí europoslanci Max Andersson a Julia Reda, organizačně jej zaštiťuje Generální ředitelství pro Informatiku (DIGIT) a v jeho rámci má ještě v letošním roce vzniknout seznam free a open-source softwaru, který EK a EP využívají. Částečné výsledky, které se týkají vývojářských nástrojů, už projekt zveřejnil.

FOSSA samozřejmě vyvolává řadu otazníků. Jednorázové bezpečnostní audity nic neřeší a i když má být cílem projektu „systematický přístup institucí EU“, současný pilot vypadá spíše jako nesmyslné plýtvání penězi. 

Na svém blogu jej zkritizovalMatthias Kirschner, šéf Evropské nadace pro svobodný software (FSFE), která FOSSA od začátku připomínkovala. Podle něj projekt vznikl na základě konzultace jen s několika málo zástupci open-sourcové komunity, není o něm moc slyšet a vlastně vůbec nezaručuje, že případně zjištěné bezpečnostní problémy někdo skutečně opraví. 

MIF16

Podklady od konzultačních agentur Everis, KPMG a Trasys podle Kirschnera také obsahují řadu faktických chyb a nepochopení toho, jak funguje vývoj open-source softwaru nebo licencování komerčních variant.

Prostě to vypadá, že se původní dobrý úmysl poněkud zvrhl. Co kdyby EK raději založila nějaký bug-bounty program, do kterého by se mohl podle libosti zapojit každý zájemce o hledání bezpečnostních chyb?

Našli jste v článku chybu?
DigiZone.cz: Sony MP-CL1A: miniaturní projektor

Sony MP-CL1A: miniaturní projektor

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?