Отличная инициатива, немного непонятно что в списке делают текстовый редактор и видео плеер? Какие там могут быть опасные уязвимости?

Ты это серьёзно?

текстовый редактор и видео плеер? Какие там могут быть опасные уязвимости?

Насчет текстового редактора не знаю, а уязвимости в плеере обычные - скажем, RCE за счет специально сконструированного видеофайла.

Список проектов, участвующих в программе, был определен по итогам голосования пользвателей.

Я хотел бы видеть пользователей, проголосовавших за FLUX TL. Вот правда, очень хотел бы,

Какие там могут быть опасные уязвимости?

Да много какие. Начиная от бинарных вроде «выход за границу массива», заканчивая логических вроде «инъекция кода при вызове утилиты-helper'а».

Use-case таких уязвимостей — 1-click RCE, то есть вызов кода при открытии документа. Например, сценарий: «Открыл письмо из налоговой — словил шифровальщик».

FLUX TL, WSO2, midPoint

Это вообще что?

Filezilla, Notepad++

Эти проекты целиком наверное стоят меньших денег, чем им выделили на уязвимости.
Попахивает распилом.

Очень популярные у фронтендщиков особой квалификации инструменты.

Как тут не вспомнить историю с TrueCrypt, на аудит которого в короткие сроки собрали денег больше, чем сам проект собрал на своё развитие в течение многих лет.

По одной из версий, именно после этого автор обиделся и свалил. И эта гипотеза, возможно, не менее правдоподобна, чем лежащее на поверхности объяснение про давление спецслужб.

Use-case таких уязвимостей — 1-click RCE, то есть вызов кода при открытии документа. Например, сценарий: «Открыл письмо из налоговой — словил шифровальщик».

Это никакими программами bug bounty не закрыть, лучше вкладываться в нормальные песочницы, а не заклёпывания решета by design. Вот, например, доклад про ломание ffmpeg: https://www.youtube.com/watch?v=dGnDIzet224

И позиция Google Security Team:

FFmpeg is one of those projects we trust to have RCE (remote code execution) everywhere

Notepad++

Говно, как и вся эта затея. Предлагаю провести аудит безопасности в Windows.

Попахивает распилом.

Поддерживаю. Но ведь это обычная практика евро парламента.

США: Отмена net neutrality РФ: 20 миллиардов рублей на ограничение свободы пользователей ЕС: Распил почти миллиона евро на «аудит» В говно катимся, товарищи.

а распил это потому что.. что?

Потому что баг-баунти за аудит стоит, как сами проекты.

и что из этого следует?

BugBounty здорового человека: зарабатываем деньги на проекте => уязвимость может уменьшить наш cash flow => нам выгодна секурность и поощрение white hat.
BugBounty курильщика: накостылили ненужно => пропихнули в комитет => получили деньги за ошибки в ненужно. Нам выгодно плодить ошибки дальше.

ви таки хотите сказать, что Пиратская партия аффилирована со всеми этими проектами? что, с glibc и томкатом тоже?

Ну какие

В нормальном плеере не знаю, а vlc тянет библиотеки libfreerdp соотвественно любая уязвимость в vlc-критическая. Зачем эти идиоты так сделали не спрашивайте.

Когда хоть один IM отаудируют?

Deliver faster, lower-risk integration projects with WSO2 open source API Management, Enterprise Integration, ESB and Identity Management technologies.

Ехал баззворд через баззворд Видит баззворд: в баззворде баззворд! Сунул баззворд баззворд в баззворд Баззворд баззворд баззворд баззворд.

Тебя удивляет, что в Европе развито рыбачество и у рыбаков есть программные продукты для своих нужд?

А кому они нужны? серьёзные люди используют почту.

Ну OneSoil тоже какие-то странные люди делали. Но вообще похоже, что эти ребята там вне конкурса, как и midPoint – мы этим у себя пользуемся, так давайте аудит сделаем, чоужтам

что в списке делают текстовый редактор и видео плеер? Какие там могут быть опасные уязвимости?

С разморозкой

GNU C Library (glibc): 45.000,00

Аудит безопасности всей glibc за 45 килобаксов? Бгг.

Аудит glibc за 45к, и notepad++ за 71к. Совсем долбанулись.

ты так говоришь, как будто уже нашел десяток critical уязвимостей в glibc, просто тебе жалко с ними расставаться за эти копейки

ВЛЦ и ГЛИБЦ. Остальное какой-то полувиндовый мусор.

я так говорю, будто весовые категории всего-чего угодно у glibc и notepad++ отличаются от указанных цен, причем в обратную сторону.

Интересно, а почему только Drupal и PHP Symfony? Почему на Drupal выделили в два раза больше? WordPress же везде крутится, если уж говорить про веб.

ты так говоришь, как будто не представляешь, что такое bug bounty. найти хотя бы одну дыру в glibc - то еще занятие, за неё и все 45к можно отдать. а 71к выделенных на Notepad++ быстро разойдутся на кучу легкообнаруживаемых дыр.

найти хотя бы одну дыру в glibc - то еще занятие, за неё и все 45к можно отдать. а 71к выделенных на Notepad++ быстро разойдутся на кучу легкообнаруживаемых дыр.

посмотрим.

Отлично, что выделяют деньги на свободные проекты. Особенно рад за Filezilla, 7-zip и glibc, как пользователь оных.

Отличный бизнес-план, нужно всего лишь написать свободное ПО, которое одобрят власти ЕС, и на которое выделят деньги среди 156 претендентов.

GNU C Library (glibc): 45.000,00 €

Х8ли тут так мало?!

Это никакими программами bug bounty не закрыть

Bug bounty не закрывает уязвимости вообще. Оно для поощрения.

лучше вкладываться в нормальные песочницы, а не заклёпывания решета by design

Песочница не панацея, так как от утечки других писем в рамках того же приложения — она тебя не спасет.

Нужно вкладываться и в application security, и в sandboxing, ибо эшелонированная оборона.