CleanPress

Matrix für das Bug-Bounty-Projekt von EU-FOSSA ausgewählt

Verfasst von

sla

in

Matrix

Die Matrix.org Foundation gab bekannt, dass das Matrix-Protokoll für Echtzeitkommunikation ausgewählt wurde, an der nächsten Runde der EU FOSSA Bug-Bounties teilzunehmen, die von der Europäischen Kommission finanziert werden und dazu dienen, die Sicherheit wichtiger Open-Source-Software, die in ganz Europa eingesetzt wird, zu erhöhen.

Preisgelder bis 5.000 €

Sicherheitsforscher haben im Rahmen des Programms Anspruch auf Prämien von bis zu 5.000 Euro für die Entdeckung von Schwachstellen in Matrix-Projekten, einschließlich des Synapse-Homeservers und der Element-Suite von Open-Source-Clients. Forscher können außerdem einen Bonus von 20 Prozent erhalten, wenn sie zusammen mit dem Bugreport einen akzeptierten Patch bereitstellen.

Zu den Projekten, die für Bounties in Frage kommen, gehören:

  • Synapse, der Matrix-Referenzserver
  • Sydent, der Matrix-Identitätsserver
  • Sygnal, das Referenz-Push-Gateway
  • Olm, die Matrix-Implementierung des kryptografischen Double-Ratchet-Algorithmus
  • Element, Matrix-client für Web, Desktop, Android und iOS

Da Matrix bereits sichere Kommunikation innerhalb der französischen Regierung (Tchap) und in Tests mit dem deutschen Militär (BwMessenger) betreibt, war das Projekt eine logische Wahl für das Fossa Bug-Bounty Programm. Das Programm wird in Partnerschaft mit Intigriti durchgeführt, einer Bug-Bounty-Plattform, die eingehende Berichte validiert und triagiert, bevor sie an die Matrix-Entwickler weitergeleitet werden. Die Europäische Kommission hat Mittel in Höhe von 32.000 Euro für Bounties genehmigt, die bis Oktober 2021 zur Verfügung stehen.

Pilotprojekt der EU

Bei EU-Fossa (EU-Free and Open Source Software Auditing) handelt es sich um ein 2016 offiziell gestartetes Pilotprojekt der EU mit dem Ziel, einen Ansatz anzubieten, mit dem EU-Institutionen sichergehen können, dass die freie Software, die sie nutzen, vertrauenswürdig ist. Bereits Ende 2014 hatte das Europäische Parlament Finanzmittel bewilligt, um freie Software-Projekte, die vom Europäischen Parlament und der Europäischen Kommission verwendet werden, auf ihre Sicherheit hin zu analysieren.

In der Kritik

Anfangs stand das Projekt heftig in der Kritik von unter anderem Matthias Kirschner von der FSFE und Mirko Böhm vom Open Invention Network. Die Kritik warf den Initiatoren und den Beteiligten unter anderem vor, dass die Dokumente hinter verschlossenen Türen verfasst und erst der endgültige Stand veröffentlicht wurde. Zudem seien die Unternehmen, die die Audits vornehmen nicht ausreichend mit Open Source und der Community dahinter vertraut.

Kommentare

11 Antworten zu „Matrix für das Bug-Bounty-Projekt von EU-FOSSA ausgewählt“

  1. Avatar von Tim Neubacher
    Tim Neubacher

    Möchte ja nicht immer meckern: Auf der einen Seite ist es ja gut, dass sich die EU für offene Protokolle einsetzt.

    Aber es ist auch vollkommen lächerlich: 32.000€? So viel kostet in Brüssel allein schon ein kleines Konferenzfrühstück. Ich bezweifle, dass damit irgendetwas bewegt werden kann. Allein Google hat 6,5 Millionen für Bug Bountys ausgegeben und ich wette, dass sie dadurch noch deutlich mehr einspielen konnten.

    Wenn man mal so beobachtet, für was die EU Millionen (für wirklich sinnlose Sachen) ausgibt, ist das eigentlich traurig, dass für Sachen wie das hier, so rumgegeiert wird. Die meisten guten Sicherheitsforscher werden das Angebot von 5.000€ lächelnd ablehnen, vielleicht werden paar Abiturienten dran teilnehmen, die Geld für ihr erstes Auto brauchen.

    Antworten
    1. Avatar von kamome
      kamome

      Ja, schön, dass _etwas_ gefördert wird, aber mit wie vielen Millionen hat man Nepomuk gefördert?!

      Antworten
      1. Avatar von kamome
        kamome

        Angeblich 17:
        https://www.phoronix.com/forums/forum/software/desktop-linux/41221-kde-s-nepomuk-doesn-t-seem-to-have-a-future

        Antworten
      2. Avatar von Tim Neubacher
        Tim Neubacher

        Ja 11,5 Millionen, aber im Gegensatz zu Nepomuk wird Matrix ja bereits schon flächendeckender eingesetzt. Hier besteht glaub ich weniger das Risiko, dass es irgendwann eingestampft wird.

        Antworten
        1. Avatar von Ferdinand
          Ferdinand

          Nepomuk war zwar ein cooles Konzept, hat aber leider nie richtig funktioniert, sondern nur Sand ins Getriebe geworfen. Zudem fand die Idee nicht überall Zustimmung.

          Antworten
        2. Avatar von kamome
          kamome

          Danke – wo hast Du denn die 11,5 Mio her?
          Da schon so wichtig für die (Teile der) „Allgemeinheit“, wäre es doch schön, das mindestens ebenso stark zu fördern!

          Antworten
          1. Avatar von Tim Neubacher
            Tim Neubacher

            Sorry, die Quelle, ich vergaß: Nepomuk and the Semantic Desktop – event – developer Fusion – https://www.developerfusion.com/%28S%280mnbmjnyolm4qeiazidy4u45%29X%281%29A%28KnvX51W3zAEkAAAAYWRkZjBhN2EtODUxNS00MWI4LTk4ZjItZmYzYjY4YWMxMzU0uNXYYXx1yMbJuWeeoz-Ra-iqZZA1%29%29/event/81518/nepomuk-and-the-semantic-desktop/

  2. Avatar von tuxnix
    tuxnix

    Die EU gibt also ganze 32.000 Euro aus, um die Sicherheit von Matrix überprüfen zu lassen. Toll! Da werden sich wohl all die vielen hungerleidenden Experten und Sicherheitsforscher sofort darauf stürzen.

    Antworten
  3. Avatar von Sebastian
    Sebastian

    „Tests mit dem deutschen Militär (BwMessenger)“

    Dann werden von den 32.000 Euro nochmal 30.000 Euro für das Beratergehalt von Ursula v.d. Leyens Sohn draufgehen… 😉

    Antworten
    1. Avatar von kamome
      kamome

      Du glaubst doch nicht wirklich, dass eine „Beratung“ für 30.000 zu haben ist!

      Antworten
      1. Avatar von Tim Neubacher
        Tim Neubacher

        Zumindest die Anreise sollte bei dem Preis drin sein…

        Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge