根据欧盟委员会(The European Commission, “EU”)于2022年1月19日发布了一则新闻稿,称其已于2022年1月13日面向公众发起了一项总额为20万欧元(约合140万元人民币)的悬赏金,用于发现 LibreOffice, LEOS, Mastodon, Odoo 以及 CryptPad 中的安全漏洞。另外,如果发现该安全漏洞的人员同时提供了相应的bug修复,则欧盟委员会将向其提供20%的奖金。
这一赏金和奖励措施是通过 Intigriti 漏洞悬赏平台退出的,其中针对LibreOffice的漏洞悬赏的链接请见这里。此次赏金由欧盟委员会开源计划办公室 (EC OSPO) 提供。
对于LibreOffice来说,根据Intigriti上的介绍,若研究人员提交了其发现一个低危安全漏洞,将获得赏金250欧元;中危1000欧元,高危2500欧元,严重漏洞为4000欧元,破例漏洞为5000欧元。我们注意到,截止本文发稿时,主办方已经收到了21项漏洞提交,但仅有一项被接受,对应的赏金为1000欧元,因此可能属于一项中危漏洞。漏洞的具体细节尚处于保密阶段。能够被接受的安全漏洞是有明确的范围要求的,并不是所有的软件缺陷都能有资格获得这项赏金。具体要求及排除范围可在已上提到的Intigriti链接中找到。
根据欧盟委员会的新闻稿,他们选择漏洞赏金的一个标准是这些软件在欧洲公共服务部门中的使用情况。LibreOffice、Mastodon、Odoo 和 Cryptpad 符合这一标准,因此被选中。此外,欧盟委员会开源计划办公室决定选择 LEOS,这是一款欧盟委员会、议会、理事会和几个成员国使用的法律编辑器。
选中的这几个软件中:
- LibreOffice 是一款免费且功能强大的办公套件。其简洁的界面和功能丰富的工具,可帮助您释放创造力并提高生产力。
- Mastodon 是一款基于 ActivityPub 的免费开源社交网络服务器,用户可以在其中关注朋友并发现新朋友。
- Odoo 是一款 ERP 业务管理解决方案,内置电子商务和 CRM 系统。
- Cryptpad 是一款安全且加密的开源协作平台,允许人们在线协作处理文档、电子表格和其他类型的文档。
- LEOS 是一种软件工具,可帮助那些参与起草立法的人士,这通常是一个需要有效在线协作的复杂过程。
欧盟委员会开源计划办公室 (EC OSPO) 成立于 2020 年,是 “2020-2023 年最新开源软件战略”的首个个具体行动。该部门为欧盟委员会开源战略和行动计划的实施和促进者,其活动受到六项原则的指导:思考开放、转变、分享、贡献、安全、保持控制 (think open, transform, share, contribute, secure, stay in control)。
发表回复