Hlavní navigace

EU prověří bezpečnost open-source, začne s Apache HTTP server a KeePass

David Slížek

V rámci pilotního programu FOSSA nechá Evropská komise provést audit kódu dvou populárních open-sourcových řešení. Co z toho bude?

Je to dobrý úmysl – ale v praxi to s ním může dopadnou všelijak. Projekt FOSSA (Free and Open Source Security Audit) nastartovala Evropská komise na konci roku 2014. Má přinést bezpečnostní audity open-sourcových řešení, která používá Evropský parlament a Evropská komise, a ve výsledku se tak má postarat o vylepšení současných open-source aplikací. Do vínku dostal rozpočet milion eur.

Po měsících ticha vyplněných vypracováváním sady metodik, studií a zadání se teď FOSSA dostává k reálným testům. Prvními na řadě budou manažer hesel KeePass a Apache HTTP Server. Ve veřejném hlasování o tom rozhodly hlasy 3282 respondentů.

Na třetím místě skončil mimochodem VLC Media Player a hned za ním Linux (nebo aspoň některé jeho komponenty). 


Autor: FOSSA EU

Bezpečnostní audity má provést konzultační firma Everis, která se teď chystá oslovit vývojářské týmy stojící za KeePass a Apachem. Výsledky testů jim pak předá, aby mohly provést případné opravy.

Má to smysl?

Za celým projektem stojí europoslanci Max Andersson a Julia Reda, organizačně jej zaštiťuje Generální ředitelství pro Informatiku (DIGIT) a v jeho rámci má ještě v letošním roce vzniknout seznam free a open-source softwaru, který EK a EP využívají. Částečné výsledky, které se týkají vývojářských nástrojů, už projekt zveřejnil.

FOSSA samozřejmě vyvolává řadu otazníků. Jednorázové bezpečnostní audity nic neřeší a i když má být cílem projektu „systematický přístup institucí EU“, současný pilot vypadá spíše jako nesmyslné plýtvání penězi. 

Na svém blogu jej zkritizovalMatthias Kirschner, šéf Evropské nadace pro svobodný software (FSFE), která FOSSA od začátku připomínkovala. Podle něj projekt vznikl na základě konzultace jen s několika málo zástupci open-sourcové komunity, není o něm moc slyšet a vlastně vůbec nezaručuje, že případně zjištěné bezpečnostní problémy někdo skutečně opraví. 

Brand

Podklady od konzultačních agentur Everis, KPMG a Trasys podle Kirschnera také obsahují řadu faktických chyb a nepochopení toho, jak funguje vývoj open-source softwaru nebo licencování komerčních variant.

Prostě to vypadá, že se původní dobrý úmysl poněkud zvrhl. Co kdyby EK raději založila nějaký bug-bounty program, do kterého by se mohl podle libosti zapojit každý zájemce o hledání bezpečnostních chyb?

Našli jste v článku chybu?
21. 7. 2016 11:32
Zen (neregistrovaný)

Tolik pismenek v tolika prispevcich a pritom by stacilo napsat "Co EU dela, spatne dela" A kdyz nedela nic, tak to je taky spatne ...