Matrix für das Bug-Bounty-Projekt von EU-FOSSA ausgewählt

Matrix

Die Matrix.org Foundation gab bekannt, dass das Matrix-Protokoll für Echtzeitkommunikation ausgewählt wurde, an der nächsten Runde der EU FOSSA Bug-Bounties teilzunehmen, die von der Europäischen Kommission finanziert werden und dazu dienen, die Sicherheit wichtiger Open-Source-Software, die in ganz Europa eingesetzt wird, zu erhöhen.

Preisgelder bis 5.000 €

Sicherheitsforscher haben im Rahmen des Programms Anspruch auf Prämien von bis zu 5.000 Euro für die Entdeckung von Schwachstellen in Matrix-Projekten, einschließlich des Synapse-Homeservers und der Element-Suite von Open-Source-Clients. Forscher können außerdem einen Bonus von 20 Prozent erhalten, wenn sie zusammen mit dem Bugreport einen akzeptierten Patch bereitstellen.

Zu den Projekten, die für Bounties in Frage kommen, gehören:

  • Synapse, der Matrix-Referenzserver
  • Sydent, der Matrix-Identitätsserver
  • Sygnal, das Referenz-Push-Gateway
  • Olm, die Matrix-Implementierung des kryptografischen Double-Ratchet-Algorithmus
  • Element, Matrix-client für Web, Desktop, Android und iOS

Da Matrix bereits sichere Kommunikation innerhalb der französischen Regierung (Tchap) und in Tests mit dem deutschen Militär (BwMessenger) betreibt, war das Projekt eine logische Wahl für das Fossa Bug-Bounty Programm. Das Programm wird in Partnerschaft mit Intigriti durchgeführt, einer Bug-Bounty-Plattform, die eingehende Berichte validiert und triagiert, bevor sie an die Matrix-Entwickler weitergeleitet werden. Die Europäische Kommission hat Mittel in Höhe von 32.000 Euro für Bounties genehmigt, die bis Oktober 2021 zur Verfügung stehen.

Pilotprojekt der EU

Bei EU-Fossa (EU-Free and Open Source Software Auditing) handelt es sich um ein 2016 offiziell gestartetes Pilotprojekt der EU mit dem Ziel, einen Ansatz anzubieten, mit dem EU-Institutionen sichergehen können, dass die freie Software, die sie nutzen, vertrauenswürdig ist. Bereits Ende 2014 hatte das Europäische Parlament Finanzmittel bewilligt, um freie Software-Projekte, die vom Europäischen Parlament und der Europäischen Kommission verwendet werden, auf ihre Sicherheit hin zu analysieren.

In der Kritik

Anfangs stand das Projekt heftig in der Kritik von unter anderem Matthias Kirschner von der FSFE und Mirko Böhm vom Open Invention Network. Die Kritik warf den Initiatoren und den Beteiligten unter anderem vor, dass die Dokumente hinter verschlossenen Türen verfasst und erst der endgültige Stand veröffentlicht wurde. Zudem seien die Unternehmen, die die Audits vornehmen nicht ausreichend mit Open Source und der Community dahinter vertraut.

5 3 votes
Article Rating

Verwandte Themen

5 3 votes
Article Rating
Abonnieren
Benachrichtige mich bei
11 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments