Hlavní navigace

EU prověří bezpečnost open-source, začne s Apache HTTP server a KeePass

David Slížek

V rámci pilotního programu FOSSA nechá Evropská komise provést audit kódu dvou populárních open-sourcových řešení. Co z toho bude?

Je to dobrý úmysl – ale v praxi to s ním může dopadnou všelijak. Projekt FOSSA (Free and Open Source Security Audit) nastartovala Evropská komise na konci roku 2014. Má přinést bezpečnostní audity open-sourcových řešení, která používá Evropský parlament a Evropská komise, a ve výsledku se tak má postarat o vylepšení současných open-source aplikací. Do vínku dostal rozpočet milion eur.

Po měsících ticha vyplněných vypracováváním sady metodik, studií a zadání se teď FOSSA dostává k reálným testům. Prvními na řadě budou manažer hesel KeePass a Apache HTTP Server. Ve veřejném hlasování o tom rozhodly hlasy 3282 respondentů.

Na třetím místě skončil mimochodem VLC Media Player a hned za ním Linux (nebo aspoň některé jeho komponenty). 


Autor: FOSSA EU

Bezpečnostní audity má provést konzultační firma Everis, která se teď chystá oslovit vývojářské týmy stojící za KeePass a Apachem. Výsledky testů jim pak předá, aby mohly provést případné opravy.

Má to smysl?

Za celým projektem stojí europoslanci Max Andersson a Julia Reda, organizačně jej zaštiťuje Generální ředitelství pro Informatiku (DIGIT) a v jeho rámci má ještě v letošním roce vzniknout seznam free a open-source softwaru, který EK a EP využívají. Částečné výsledky, které se týkají vývojářských nástrojů, už projekt zveřejnil.

FOSSA samozřejmě vyvolává řadu otazníků. Jednorázové bezpečnostní audity nic neřeší a i když má být cílem projektu „systematický přístup institucí EU“, současný pilot vypadá spíše jako nesmyslné plýtvání penězi. 

Na svém blogu jej zkritizovalMatthias Kirschner, šéf Evropské nadace pro svobodný software (FSFE), která FOSSA od začátku připomínkovala. Podle něj projekt vznikl na základě konzultace jen s několika málo zástupci open-sourcové komunity, není o něm moc slyšet a vlastně vůbec nezaručuje, že případně zjištěné bezpečnostní problémy někdo skutečně opraví. 

Podklady od konzultačních agentur Everis, KPMG a Trasys podle Kirschnera také obsahují řadu faktických chyb a nepochopení toho, jak funguje vývoj open-source softwaru nebo licencování komerčních variant.

Prostě to vypadá, že se původní dobrý úmysl poněkud zvrhl. Co kdyby EK raději založila nějaký bug-bounty program, do kterého by se mohl podle libosti zapojit každý zájemce o hledání bezpečnostních chyb?

Našli jste v článku chybu?

20. 7. 2016 20:36

Lenin (neregistrovaný)

a chemtrails nám tají!

21. 7. 2016 11:32

Zen (neregistrovaný)

Tolik pismenek v tolika prispevcich a pritom by stacilo napsat "Co EU dela, spatne dela" A kdyz nedela nic, tak to je taky spatne ...

Root.cz: Firefox hodí za rok přes palubu stará rozšíření

Firefox hodí za rok přes palubu stará rozšíření

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Podnikatel.cz: Změny v daních z příjmů pro podnikatele

Změny v daních z příjmů pro podnikatele

DigiZone.cz: Sat novinky: Je tu Sky Sport News HD

Sat novinky: Je tu Sky Sport News HD

Podnikatel.cz: Zařízení pro EET zbytečně, vrátí vám peníze

Zařízení pro EET zbytečně, vrátí vám peníze

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

DigiZone.cz: Vedení ČRo: personální změny od ledna

Vedení ČRo: personální změny od ledna

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu