日前，外媒juliareda記者Julia Reda刊文談論了歐盟運行的免費和開源軟件審計項目(Free and Open Source Software Audit project)--FOSSA。據其介紹，在一些免費軟件項目中他們發現了安全漏洞，其中一個問題是這些漏洞則是在開源加密庫OpenSSL中發現。

該類型軟件之所以被稱為庫則是因為它為大量其他軟件提供了標準功能。由於OpenSSL對於互聯網流量的加密也非常重要，因此它對於保護用戶個人通信或其在網上購物時的支付細節也息息相關。

這一問題讓許多人意識到，免費和開源軟件對於互聯網和其他基礎設施的完整性和可靠性是多麽得重要。與其他許多組織一樣，歐洲議會、歐洲理事會、歐盟委員會等機構也在自由軟件的基礎上運行它們的網站和其他東西。除了經濟和政府機構，互聯網實際上對用戶日常生活的基礎設施也至關重要，它是人們用於檢索信息和在政治上保持活躍的手段。

而這也是為什麽Reda及其同事Max Andersson啟動免費開源軟件審計項目FOSSA的原因。

2015年-2016年，第一代FOSSA項目誕生，負責運行該項目的歐盟委員會列出了自由軟件依賴的清單，另外還分析了軟件開發者如何在他們的項目中處理安全問題。最後，兩個項目（web服務器Apache和密碼管理器KeePass）接受了安全審計。

到了2017年，這個項目延長了三年時間。這次Reda他們決定更進一步，他們在重要免費軟件項目中加入了Bug Bounties（漏洞獎勵）的執行以此來提高免費和開源軟件的安全性。

另外，他們還為此計劃了一系列的黑客馬拉松活動，進而使得來自歐盟機構內部的開發人員、來自免費軟件項目的開發人員能夠緊密合作並在各自的軟件上展開直接合作。

/

明年1月，歐盟委員將會在免費軟件項目中啟動了15個Bug Bounties中的14個。Bug Bounties是對那些積極幫助發現安全問題的人的獎勵，至於具體金額則視所發現問題的嚴重性和軟件的相對重要性而定。以下為軟件項目和漏洞獎勵的具體表格：

原文來自：https://www.linuxidc.com/Linux/2018-12/156099.htm

本文地址：https://www.linuxprobe.com/vulnerability-bounty.html編輯：roc_guo，審核員：逄增寶

歐盟即將在免費開源軟件項目中推行“漏洞賞金”