Comissão Européia lança programa de recompensas por bugs em softwares livres

Fossa

Estando entre os recursos mais utilizados por empresas, os programas de recompensa pela descoberta de vulnerabilidades premiam pesquisadores em segurança da informação, que localizam e reportam falhas de segurança em aplicações e sistemas.

Em reconhecimento à força desta estratégia, a União Européia lançou, ainda em 2014, a primeira fase de sua iniciativa para auditar softwares livres, o projeto FOSSA – Free and Open Source Software Audit, onde dois projetos foram contemplados inicialmente com auditorias de segurança, sendo estes o projeto Apache e o Keepass. Esta primeira fase durou dois anos, indo de 2015 até o final de 2016.

Em 2017, a iniciativa foi renovada para um período de mais três anos, e teve um piloto para o oferecimento de bug bounties utilizando o player multimídia VLC, permitindo que a Comissão Européia obtivesse experiência na execução da oferta de recompensas por falhas.

Em abril de 2018 foi aberta uma chamada pública para licitações e, em outubro do mesmo ano, as empresas foram definidas como as principais executoras do projeto, sendo estas a HackerOne e Intigriti.

Agora, iniciando em janeiro de 2019, o programa de recompensas para as falhas foi extendido para 15 aplicações de código aberto, consideradas como sendo de grande importância para a manutenção da infraestrutura de Internet, e também para o uso da população. A nova fase vai distribuir o equivalente a € 851.000 (oitocentos e cinquenta e um mil Euros).

Segundo Julia Reda, uma das idealizadoras do projeto, um dos principais objetivos do projeto FOSSA é “estabelecer a segurança dos softwares livres como um item permanente no orçamento da União Européia”.

Também estão previstas para esta fase a realização de Hackathons, com o objetivo de aproximar os desenvolvedores destas aplicações junto às instituições européias e os próprios mantenedores dos projetos de código aberto, para que possam colaborar de maneira mais próxima para o desenvolvimento destes softwares, facilitando o intercâmbio de conhecimento.

Veja abaixo a tabela, com uma tradução livre para os títulos da colunas, onde estão dispostos os projetos contemplados pela iniciativa, além das datas de início e fim da captação dos reportes de vulnerabilidades, bem como as plataformas onde estes reportes devem ser feitos para concorrer às premiações. Para acessar a página com o anúncio oficial, e também visualizar a tabela original, em inglês, acessem este link.

Tabela_Fossa

Anúncios

LPIC 2 versão 4.0 – Recursos gratuitos e online para estudo

Studying-book

Olá pessoal! Para aqueles que estão acompanhando o Linux Certification Virtual Summit as informações aqui não serão novidade, porém caso não esteja assistindo as palestras dos profissionais participantes as dicas a seguir poderão te ajudar a se preparar para a versão 4.0 da certificação LPIC nível 2.

A entrevista do quarto dia do evento trouxe como entrevistado Andrew Mallet, profissional que atua com treinamentos e software livre há mais de 15 anos, é o criador e mantenedor do site The Urban Penguin, onde oferece dicas e serviços relacionados a software livre, incluindo todos os níveis das certificações LPI, além de tratar sobre programação, shell scripting, entre outros assuntos. É detentor de certificações LPIC, Red Hat e SuSe, e também ministra cursos online através do site Pluralsight.

Respondendo às diversas perguntas sobre sua vida profissional, ligação com os softwares livres e sobre como se preparar para os exames para a obtenção da LPIC 2, ele também nos ofereceu dicas de fontes de consulta gratuitas a material de preparação e, embora em inglês, podem ser de grande valia para seus estudos.

Uma dessas fontes de informações é o site http://lpic2.unix.nl/, que disponibiliza um livro online voltado específicamente para a obtenção da certificação de nível 2, e que trás uma cobertura completa de todos os tópicos exigidos, de forma direta, e com diversos exemplos de opções para os comandos cobrados.

A obra digital é escrita por diversos profissionais de TI e mantida em constante atualização desde 2001, acompanhando as mudanças de conteúdo nas diversas versões da prova. No momento em que escrevo este artigo a versão disponível no site é a que cobre a versão 4.0 do exame, sendo a mais recente.

Outra fonte de estudos é composta de vídeoaulas disponibilizadas pelo próprio Andrew em seu site, e que cobre alguns dos tópicos exigidos como o gerenciamento de capacidade e manipulação do kernel Linux. Outros vídeos, sobre diversos assuntos e níveis das certificações LPIC, podem ser vistos em seu canal disponível no Youtube.

Uma das informações interessantes sobre a certificação, e oferecida por Andrew durante a entrevista, é de que a versão 4.5 da LPIC 2 deve ser ativada em janeiro de 2017, portanto caso esteja se preparando para a versão 4.0, e queira garantir a sua certificação antes da mudança do conteúdo, recomendo a intensificação dos estudos e marcação das provas tão logo esteja preparado, evitando assim a adaptação da rotina para a inclusão dos assuntos adicionados à nova versão.

Abraços e bons estudos!

Linux Certification Virtual Summit – 17 a 23 de outubro, 2016

Certificado

Um ciclo de palestras virtuais sobre certificações Linux será realizado entre os dias 17 e 23 de outubro. Durante o Linux Certification Virtual Summit, diversos profissionais estarão compartilhando seus conhecimentos, falando sobre o que fazer, e como fazer, para obter a sua certificação em administração de sistemas GNU/Linux, comentando e oferecendo dicas para os exames das principais fornecedoras disponíveis no mercado. As inscrições são gratuitas.

A abertura será realizada por John “Maddog” Hall, que falará sobre a importância de se aprender sobre os sistemas GNU/Linux e o impacto que causam no mundo atual. Nos dias seguintes teremos palestras falando sobre as certificações Linux+ da CompTIA, Linux Essencials da Linux Foundation, LPIC do Linux Professional Institute, além das certificações RHCSA e RHCE da Red Hat Inc. Segue abaixo a programação:

Dia 17

Mastering CompTIA Linux+ – Jason Eckert focará nos objetivos de exame CompTIA Linux+ 104, onde detalhará o que você precisa saber a respeito de shell scripting, gerenciamento de dados, interfaces com o usuário e tarefas administrativas.

Mastering CompTIA Linux+ – Jesse Varsalone discutirá sobre fóruns online, comandos que você precisa saber para ser aprovado nos exames e a importância de se conhecer os sistemas GNU/Linux no mundo da segurança cibernética.

Dia 18

Linux Essencials – Sirko Kemter discutirá seu envolvimento no projeto Fedora, além dos comandos e conceitos necessários para ser aprovado no exame Linux Essencials.

Dia 19

LPIC – 1 Certified Linux Administrator – David Morgan discutirá a respeito da certificação do Linux Professional Institute, oferecendo técnicas para ser aprovado nos exames 101 e 102.

Dia 20

LPIC – 2 Certified Linux Engineer – Andrew Mallet focará no exame LPIC – 2 201 onde falará sobre os comandos que deve se conhecer sobre o kernel Linux, inicialização de sistema, além de dispositivos e sistemas de arquivos.

LPIC – 2 Certified Linux Engineer -Mark Clarke falará sobre os passos que seguiu para obter a certificação LPIC – 2 e também sobre a companhia Jumping Bean.

Dia 21

LPIC – 3 Linux Enterprise Professional 303 Security Exam – Bruno Guerreiro Diniz oferecerá dicas sobre como ser aprovado no exame 303-200, incluindo tópicos como criptografia, segurança de hosts, controle de acesso, e segurança de redes.

LPIC – 3 Mixed Environment Certification – Glaysson Barboza falará sobre como foi aprovado no exame e trará dicas que você poderá usar para também ser aprovado.

Dia 22

Red Hat Certified Systems Administrator – Tyrone Terrence McKinney lhe mostrará de forma prática as habilidades necessárias para ser aprovado no exame. Nesta sessão ele focrá no entendimento e uso de ferramentas essenciais, execução de sistemas e configuração de storages locais.

Red Hat Certified Systems Administrator – Asghar Ghori revelará os comandos mandatórios para ser aprovado no exame RHCSA. Ele também explorará as formas de se implantar, configurar e manter sistemas, além das habilidades para criar e configurar sistemas de arquivos.

Dia 23

Red Hat Certified Engineer – Sander Van Vugt’s manterá a discussão centrada nos comandos para a configuração e gerenciamento de sistemas, incluindo a configuração de endereços IPv6, firewalls e roteadores.

Red Hat Certified Engineer -Devin Acosta’s focará na instalação, configuração e troubleshooting de serviços de rede, além de informações sobre como se tornar um arquiteto certificado Red Hat.

Para se increver, basta acessar o link para a página oficial do evento.