Matrix für das Bug-Bounty-Projekt von EU-FOSSA ausgewählt

News 11 Kommentare
Matrix

Die Matrix.org Foundation gab bekannt, dass das Matrix-Protokoll für Echtzeitkommunikation ausgewählt wurde, an der nächsten Runde der EU FOSSA Bug-Bounties teilzunehmen, die von der Europäischen Kommission finanziert werden und dazu dienen, die Sicherheit wichtiger Open-Source-Software, die in ganz Europa eingesetzt wird, zu erhöhen.

Preisgelder bis 5.000 €

Sicherheitsforscher haben im Rahmen des Programms Anspruch auf Prämien von bis zu 5.000 Euro für die Entdeckung von Schwachstellen in Matrix-Projekten, einschließlich des Synapse-Homeservers und der Element-Suite von Open-Source-Clients. Forscher können außerdem einen Bonus von 20 Prozent erhalten, wenn sie zusammen mit dem Bugreport einen akzeptierten Patch bereitstellen.

Zu den Projekten, die für Bounties in Frage kommen, gehören:

  • Synapse, der Matrix-Referenzserver
  • Sydent, der Matrix-Identitätsserver
  • Sygnal, das Referenz-Push-Gateway
  • Olm, die Matrix-Implementierung des kryptografischen Double-Ratchet-Algorithmus
  • Element, Matrix-client für Web, Desktop, Android und iOS

Da Matrix bereits sichere Kommunikation innerhalb der französischen Regierung (Tchap) und in Tests mit dem deutschen Militär (BwMessenger) betreibt, war das Projekt eine logische Wahl für das Fossa Bug-Bounty Programm. Das Programm wird in Partnerschaft mit Intigriti durchgeführt, einer Bug-Bounty-Plattform, die eingehende Berichte validiert und triagiert, bevor sie an die Matrix-Entwickler weitergeleitet werden. Die Europäische Kommission hat Mittel in Höhe von 32.000 Euro für Bounties genehmigt, die bis Oktober 2021 zur Verfügung stehen.

Pilotprojekt der EU

Bei EU-Fossa (EU-Free and Open Source Software Auditing) handelt es sich um ein 2016 offiziell gestartetes Pilotprojekt der EU mit dem Ziel, einen Ansatz anzubieten, mit dem EU-Institutionen sichergehen können, dass die freie Software, die sie nutzen, vertrauenswürdig ist. Bereits Ende 2014 hatte das Europäische Parlament Finanzmittel bewilligt, um freie Software-Projekte, die vom Europäischen Parlament und der Europäischen Kommission verwendet werden, auf ihre Sicherheit hin zu analysieren.

In der Kritik

Anfangs stand das Projekt heftig in der Kritik von unter anderem Matthias Kirschner von der FSFE und Mirko Böhm vom Open Invention Network. Die Kritik warf den Initiatoren und den Beteiligten unter anderem vor, dass die Dokumente hinter verschlossenen Türen verfasst und erst der endgültige Stand veröffentlicht wurde. Zudem seien die Unternehmen, die die Audits vornehmen nicht ausreichend mit Open Source und der Community dahinter vertraut.

Teilt den Beitrag, falls ihr mögt

11 Kommentare

  2. Die EU gibt also ganze 32.000 Euro aus, um die Sicherheit von Matrix überprüfen zu lassen. Toll! Da werden sich wohl all die vielen hungerleidenden Experten und Sicherheitsforscher sofort darauf stürzen.

    8

  3. Möchte ja nicht immer meckern: Auf der einen Seite ist es ja gut, dass sich die EU für offene Protokolle einsetzt.

    Aber es ist auch vollkommen lächerlich: 32.000€? So viel kostet in Brüssel allein schon ein kleines Konferenzfrühstück. Ich bezweifle, dass damit irgendetwas bewegt werden kann. Allein Google hat 6,5 Millionen für Bug Bountys ausgegeben und ich wette, dass sie dadurch noch deutlich mehr einspielen konnten.

    Wenn man mal so beobachtet, für was die EU Millionen (für wirklich sinnlose Sachen) ausgibt, ist das eigentlich traurig, dass für Sachen wie das hier, so rumgegeiert wird. Die meisten guten Sicherheitsforscher werden das Angebot von 5.000€ lächelnd ablehnen, vielleicht werden paar Abiturienten dran teilnehmen, die Geld für ihr erstes Auto brauchen.

    9

      2. Ja 11,5 Millionen, aber im Gegensatz zu Nepomuk wird Matrix ja bereits schon flächendeckender eingesetzt. Hier besteht glaub ich weniger das Risiko, dass es irgendwann eingestampft wird.

        0

Kommentar hinterlassen