2. 程式人生 > >歐盟百萬歐元懸賞開源軟體漏洞惹爭議,被評本末倒置

歐盟百萬歐元懸賞開源軟體漏洞惹爭議,被評本末倒置

阿新 發佈:2019-01-07

  

前兩天我們報道過歐盟針對 14 個開源專案開啟漏洞賞金計劃的訊息,歐盟將為 Filezilla、Apache Kafka、Notepad++、PuTTY、VLC Media Player、FLUX TL、KeePass、7-zip、Digital Signature Services (DSS)、Drupal、GNU C Library (glibc)、PHP Symfony、Apache Tomcat 和 WSO2 等專案提供資助,以每個 3 萬到 9 萬歐元不等的賞金,鼓勵使用者向開源專案提供 Bug 。

該計劃公佈後,在受到好評的同時也引起了爭議。有網站發文評論

道,歐盟的懸賞計劃的重點是發現漏洞,而不是修復漏洞,這其實有點本末倒置。這些開源軟體的維護者本身就已經有很長的待修復列表,再加上“漏洞獵人”的反饋,整個修復列表會變得更長。這無意增加了維護中的壓力,也導致他們需要更多資源才能去解決問題。

Luta Security 的創始人兼軟體漏洞管理專家 Katie Moussouris 在 Twitter 上寫道:“我不認為這個懸賞計劃是好事,更多的漏洞意味著需要更多的維護者,這些人的援助資源在哪裡?”

對此你怎麼看?歡迎評論!

相關推薦

歐盟百萬歐元懸賞開源軟體漏洞爭議本末倒置

   前兩天我們報道過歐盟針對 14 個開源專案開啟漏洞賞金計劃的訊息,歐盟將為 Filezilla、Apache Kafka、Notepad++、PuTTY、VLC Media Player、FLUX TL、KeePass、7-zip、Digital Signature Se

【崗位放送】華為開源軟體能力中心招賢納士歡迎自薦或推薦

2015/2016最熱門話題莫過於Docker / Kubernetes / Mesos這類容器技術。華為早在2014年已經參與Docker社群開發,作為Founding member推動Linux基金會成立CNCF基金會(Cloud Native Computing Foundation)和OCI基金會(

“基因編輯嬰兒”爭議你或許不知道機器學習在脫靶效應中的作用?

作者|琥珀 出品| AI科技大本營 又一次,電腦科學家和生物學者站在一起,對抗人類向內探索的挑戰——用機器學習預測基因編輯 CRISPR 中的脫靶效應。 今年年初,發表在《自然》生物工程雜誌上的一篇論文描述了 Elevation 這項工具。該工具由微軟

歐盟即將在免費開源軟件項目中推行“漏洞賞金”

提高 open 得來 http 互聯 www. 軟件 自由軟件 pro 日前,外媒juliareda記者Julia Reda刊文談論了歐盟運行的免費和開源軟件審計項目(Free and Open Source Software Audit project)--FOSSA。據

開源軟體史上最大收購案!IBM340億美元收購Linux分銷商Red Hat

            關注ITValue,檢視企業級市場最新鮮、最具價值的報道! IBM宣佈,將以340億美元的價格收購Red Hat。   RedHat成立於1993年,是開源系

優秀的 Spring Cloud 開源軟體

Spring Cloud是一系列框架的有序集合。它利用Spring Boot的開發便利性巧妙地簡化了分散式系統基礎設施的開發,如服務發現註冊、配置中心、訊息匯流排、負載均衡、斷路器、資料監控等,都可以用Spring Boot的開發風格做到一鍵啟動和部署。 為整理了一些非常優秀的 Spring Cloud 開

中介軟體漏洞及修復彙總

Nginx檔案解析漏洞 漏洞等級 高危 漏洞描述 nginx檔案解析漏洞產生的原因是網站中介軟體版本過低,可將任意檔案當作php可執行檔案來執行,可導致攻擊者執行惡意程式碼來控制伺服器。 漏洞危害 機密資料被竊取; 核心業務資料被篡改; 網頁

0day安全:軟體漏洞分析技術 第二章 棧溢位原理及實踐

_stdcall呼叫約定下,函式呼叫時用到的指令序列大致如下:push 引數3push 引數2push 引數1call 函式地址;a)向棧中壓入當前指令在記憶體中的位置,即儲存儲存返回地址。b)跳轉到所呼叫函式的入口push ebp 儲存舊棧幀的底部mov ebp,esp 設定新棧幀的底部(棧幀切換)sub

一個方便檢視資料庫轉換rest/graphql api 的開源軟體的github 專案

https://github.com/dbohdan/automatic-api 是一個不錯的github 知識專案,幫助我們 列出了,常見的的資料庫可以直接轉換為rest/graphql api 的開源專案 Project name/link Da

開源軟體推薦

類別 Linux系統及軟體 替代Windowsn...1 作業系統 CentOS   Windows2 作業系統 Ubuntu  Windows3 瀏 覽 器 Chrome IE4 瀏 覽 器 FireFox IE5 辦公文件 LibreOffice  Microsof

開源軟體出發二十年後又回到開源教育

從開源軟體出發,二十年後又回到開源教育    1994年,Wayne Hodgins杜撰了一個新詞“開源教育(OER),思想新穎,很快發展成為一項教育“運動”。最終與國際“知識共享”合作促成美國教育部今年作出關於符合“知識共享”授權協議的英明決策。   &nb

微軟、谷歌、亞馬遜、Facebook等矽谷大廠91個開源軟體盤點(附下載地址)

開源軟體中有大量專家構建的程式碼,大大節省了開發人員的時間和成本,熱衷於開源的大廠們總是能夠帶給我們新的驚喜。2016年9月GitHub報告顯示,GitHub已經有超過 520 萬的使用者和超 30 萬的組織。這十二個月以來,有超過 81 萬的人發起了人生第一個 PR,更有 280 萬人創造了他自己

開源軟體5大常見問題及解決方法

導讀 開原始碼的使用熱度持續上升,各類公司都習慣於使用開原始碼來構建自己的系統和平臺。開原始碼帶來的便利是大家有目共睹的,但巨大利益的背後往往存在著挑戰,開源在方便大家的同時,其隱患也不容忽視。 近幾年,開原始碼的使用熱度持續上升,各類公司都習慣於使用開原始

千萬下載量開源軟體託管給陌生人 植入惡意程式碼竊取使用者密幣

0x00 事件背景 2018年11月21日,名為 FallingSnow的使用者在知名JavaScript應用庫event-stream在github Issuse中釋出了針對植入的惡意程式碼的疑問,表示event-stream中存在用於竊取使用者數字錢包的惡意程式碼。 360-CER

蔓靈花(BITTER)APT組織使用InPage軟體漏洞針對巴基斯坦的攻擊及團伙關聯分析

概述 近期,360威脅情報中心監控到一系列針對巴基斯坦地區的定向攻擊活動,而相關的惡意程式主要利用包含了InPage文書處理軟體漏洞CVE-2017-12824的誘餌文件(.inp)進行投遞,除此之外,攻擊活動中還使用了Office CVE-2017-11882漏洞利用文件。InPage是一個專

中國著名開源軟體

AliSQL AliSQL是基於MySQL官方版本的一個分支,由阿里雲資料庫團隊維護,目前也應用於阿里巴巴集團業務以及阿里雲資料庫服務。該版本在社群版的... Amaze UI

點雲配准算法和開源軟體

經典的點雲配準 Standard ICP Besl, Paul J., and Neil D. McKay. "A method for registration of 3-D shapes." IEEE Transactions on pattern analysi

偶數科技主導研發的HAWQ獲中日韓開源軟體技術優勝獎

近日,中國工業和資訊化部資訊化和軟體服務業司司長謝少鋒帶領華為、騰訊、小米、偶數等企業代表前往日本橫濱,參加了“第十七屆中日韓三國IT局長會議暨東北亞開源軟體推進論壇(以下簡稱中日韓開源論壇)”。本次會議圍繞開源技術、模式創新、開源軟體發展新方向以及中日韓三國重點企業的跨界融合與協同創

java併發包訊息佇列及在開源軟體中的應用

1.BlockingQueue的常用方法 BlockingQueue也是java.util.concurrent下的主要用來控制執行緒同步的工具。 主要的方法是:put、take一對阻塞存取;add、poll一對非阻塞存取。          插入:        1

開源軟體版權

將自己的協議宣告檔案 (LICENSE) 放在根目錄 將其他上家的宣告檔案統一放在一個子目錄,比如 ./3rd_party_licenses/ 依照不同上家的名字繼續建立子目錄,然後將其宣告檔案放入。 在 README / NOTICE 檔案中清楚說明使用了哪些上家的原始碼,