Comissão Européia lança programa de recompensas por bugs em softwares livres

Fossa

Estando entre os recursos mais utilizados por empresas, os programas de recompensa pela descoberta de vulnerabilidades premiam pesquisadores em segurança da informação, que localizam e reportam falhas de segurança em aplicações e sistemas.

Em reconhecimento à força desta estratégia, a União Européia lançou, ainda em 2014, a primeira fase de sua iniciativa para auditar softwares livres, o projeto FOSSA – Free and Open Source Software Audit, onde dois projetos foram contemplados inicialmente com auditorias de segurança, sendo estes o projeto Apache e o Keepass. Esta primeira fase durou dois anos, indo de 2015 até o final de 2016.

Em 2017, a iniciativa foi renovada para um período de mais três anos, e teve um piloto para o oferecimento de bug bounties utilizando o player multimídia VLC, permitindo que a Comissão Européia obtivesse experiência na execução da oferta de recompensas por falhas.

Em abril de 2018 foi aberta uma chamada pública para licitações e, em outubro do mesmo ano, as empresas foram definidas como as principais executoras do projeto, sendo estas a HackerOne e Intigriti.

Agora, iniciando em janeiro de 2019, o programa de recompensas para as falhas foi extendido para 15 aplicações de código aberto, consideradas como sendo de grande importância para a manutenção da infraestrutura de Internet, e também para o uso da população. A nova fase vai distribuir o equivalente a € 851.000 (oitocentos e cinquenta e um mil Euros).

Segundo Julia Reda, uma das idealizadoras do projeto, um dos principais objetivos do projeto FOSSA é “estabelecer a segurança dos softwares livres como um item permanente no orçamento da União Européia”.

Também estão previstas para esta fase a realização de Hackathons, com o objetivo de aproximar os desenvolvedores destas aplicações junto às instituições européias e os próprios mantenedores dos projetos de código aberto, para que possam colaborar de maneira mais próxima para o desenvolvimento destes softwares, facilitando o intercâmbio de conhecimento.

Veja abaixo a tabela, com uma tradução livre para os títulos da colunas, onde estão dispostos os projetos contemplados pela iniciativa, além das datas de início e fim da captação dos reportes de vulnerabilidades, bem como as plataformas onde estes reportes devem ser feitos para concorrer às premiações. Para acessar a página com o anúncio oficial, e também visualizar a tabela original, em inglês, acessem este link.

Tabela_Fossa

Anúncios

Como ajudar em projetos de software livre sem saber programar

Time

Muitas pessoas acham que na equipe de um projeto de software livre só programadores(as) são admitidos, ou que para contribuir com um projeto determinado seja necessário saber programar, mas há muitas outras formas de participar e ser uma grande ajuda para o desenvolvimento ou manutenção dos softwares livres, sem que seja necessário saber escrever uma linha de código sequer.

A mais fácil e comum é através da utilização. Quando utilizamos um software qualquer nós temos contato com as suas funcionalidades e podemos avaliar como estes estão sendo úteis, como podem ser ainda melhores e, no caso dos softwares livres, fazer as devidas sugestões àqueles que podem efetivar essas mudanças, enriquecendo seu processo de maturação, ao mesmo tempo em que oferece o retorno quanto a satisfação, ou insatisfação, à equipe que o desenvolve.

Essa forma de contribuição também leva a uma outra, a de relatar problemas encontrados. Durante a utilização de um software podemos nos deparar com travamentos, e é bastante útil que você relate as condições em que seu sistema estava operando quando o software veio a travar. Preenchendo e enviando os formulários de tratamento de bugs, você fornece importantes informações para que possíveis falhas no código sejam descobertas, ou mesmo seja descoberta a incompatibilidade com determinado tipo de hardware, quando do acesso a seus recursos, portanto é mais uma maneira de colaborar para que o software seja melhorado.

Outra forma diferente de ajudar, é documentar um determinado aplicativo. Grande parte da equipe envolvida no desenvolvimento de um software é composta por programadores, e justamente por isso, em alguns casos, há a necessidade de mais pessoas ajudando a documentar as funcionalidades de um programa, ou os procedimentos necessários para se executar determinada tarefa. Escrevendo tutoriais, ou mesmo questionando uma descrição não muito clara na documentação oficial, sobre como executar determinada tarefa, e adicionando a resposta como forma de deixar a documentação mais clara, são formas de ajudar a outras pessoas que utilizem este software a ter uma experiência melhor como usuário(a).

Como parte da documentação, você também pode contribuir com a tradução desta para a sua língua nativa, caso uma tradução ainda não esteja disponível, ou mesmo contribuir com a equipe que realize essa tradução para uma documentação existente.

Contribuir com outras habilidades que você tenha também pode ser bem útil para um determinado projeto de software. Se você tem conhecimentos sobre edição de imagens, desenvolvimento de sistemas, criação de tutoriais, de guias de instalação, ou é um(a) escritor(a), e utilizar softwares livres para mostrar ao mundo a sua criatividade, liberando estes conteúdos sob uma licença Creative Commons que permita a sua reprodução, além de contribuir para a cultura livre, você também ajudará a divulgar os softwares que foram utilizados para a divulgação de seu talento.

Propagar os softwares livres que te ajudam a executar as tarefas do dia a dia também é uma forma de contribuição, já que outras pessoas poderão tomar conhecimento de formas alternativas de se executar uma mesma tarefa, sem a necessidade de utilizar softwares proprietários. Dessa forma você contribui também para o desenvolvimento de sua comunidade ou de empresas com as quais tenha contato, que muitas vezes podem ser restringidas por baixos orçamentos ou condição socioeconômica.

A doação voluntária de valores também é uma forma de contribuir para que os projetos de softwares livres possam continuar a existir. Grande parte destes projetos são conduzidos por voluntários, que dispõem seu tempo livre, e muitas vezes recursos financeiros pessoais, para contribuir com o desenvolvimento das ferramentas que muitos de nós utilizamos diariamente, portanto a doação monetária pode evitar que um determinado projeto venha a ser descontinuado devido a escassez de recursos humanos ou financeiros.

Por fim, seja profissional. Um dos grandes preconceitos existentes com relação aos softwares livres é que, por serem projetos abertos e mantidos pela comunidade, falta profissonalismo em seu desenvolvimento. Portanto, seja qual for a forma que você possa contribuir, com o projeto que escolher ajudar, seja profissional e responsável em suas contribuições. Bom trabalho e sucesso para você!

Stallman fala sobre privacidade, democracia e softwares livres

Richard_Stallman

Richard Stallman, fundador da Free Software Foundation, pai dos softwares livres e de código aberto, escreveu um artigo para a revista eletrônica Wired.com, onde nos fala um pouco sobre como a vigilância digital governamental afeta a liberdade da sociedade e oprime os direitos humanos. Aqui segue uma tradução livre para os principais pontos do artigo original.

Stallman escreveu que, “O atual nível de vigilância em geral na sociedade é incompatível com os direitos humanos. Para recuperar a nossa liberdade e restaurar a democracia, nós devemos reduzir a vigilância para um nível em que delatores de todos os tipos possam falar com jornalistas sem serem maculados. Para fazermos isso de forma confiável, nós devemos reduzir a capacidade de vigilância nos sistemas que utilizamos.

Utilizar softwares livres e de código aberto, como venho divulgando há trinta anos, é o primeiro passo para tomar o controle de nossas vidas digitais. Nós não podemos confiar em softwares proprietários; a NSA ( Agência Nacional de Segurança dos Estados Unidos da América ) utiliza e até mesmo cria pontos fracos na segurança de sistemas proprietários para que possa invadir nossos computadores e roteadores. Os softwares livres nos dá o controle de nossos computadores, mas isso não protegerá a nossa privacidade quando colocarmos os pés na Internet.

Uma legislação bipartidária está sendo elaborada nos Estados Unidos da América para “reduzir os poderas da vigilância interna”, mas se baseia apenas em limitar o uso governamental de nossos dossiês virtuais. Isso não é o suficiente para proteger delatores se “pegar o denunciante” é motivo de acesso ( a dados ) suficiente para identificá-lo(a). Temos de ir além deste ponto.”

Stallman disse que uma vez que a sociedade identifique que o nível de vigilância em geral é muito alto, a primeira resposta a isso é propor limites no acesso aos dados acumulados. Embora isso soe bem, não vai ajudar a corrigir o problema verdadeiro.

Stallman acrescentou que a NSA tem ludibriado a FISA Court ( Corte de Vigilância de Inteligência Estrangeira ), que diz ser incapaz de responsabilizar a NSA. A suspeita de um crime será motivo para acesso a informações, então quando um denunciante é acusado de “espionagem”, encontrar o “espião” irá fornecer a desculpa para acessar o material já acumulado.

O pessoal da equipe de vigilância do Estado vai utilizar indevidamente os dados acessados por razões pessoais também. Alguns agentes da NSA utilizaram os sistemas de vigilância dos Estados Unidos para acompanhar as suas amantes – passadas, presentes ou desejadas – em uma prática chamada “LoveINT”. A NSA diz que pegou e puniu responsáveis por isso algumas vezes; não sabemos quantas outras vezes isso aconteceu e ninguém foi pego. Mas esses acontecimentos não deveriam nos surpreender, porque a polícia tem usado por muito tempo o seu acesso aos registros de carteira de motorista para rastrear alguém atraente, uma prática conhecida como “preparando um prato para um encontro”.

Stallman considera que os dados de vigilância serão sempre usados ​​para outros fins, apesar de ser proibido. E esses dados acumulados podem até mesmo ser usado de maneiras terríveis .

“Vigilância total, somadas a uma lei vaga, fornecem abertura para uma grande expedição de coleta de dados contra qualquer alvo desejado . Para tornar seguro o jornalismo e a democracia , devemos limitar a acumulação de dados que é facilmente acessível para o Estado”, escreveu Stallman.

Stallman também fala sobre a Electronic Frontier Foundation e outras organizações que propõem um conjunto de princípios jurídicos que são especialmente concebidos para evitar os abusos da vigilância em massa. Estes incluem, fundamentalmente, a proteção legal explícita para os delatores, como conseqüência, eles seriam adequadas para proteger as liberdades democráticas – se adotadas completamente e executadas, sem exceção, para sempre.

No entanto, estas podem ser revogadas (como no Ato de Alterações da Lei, executado pela FISA) , suspensas ou ignoradas.

“Se os limites de acesso aos dados são retiradas, será como se nunca tivessem existido: anos de trabalho em dossiês de repente tornariam-se disponíveis para uso indevido por parte do Estado e seus agentes e, se recolhidos pelas empresas, por serem mal utilizadas pelo setor privado . Se, no entanto, a coleção de dossiês sobre todos for parada, os dossiês não existiram, e não haverá nenhuma maneira de compilá-los retroativamente. Um novo regime liberal teria que implementar novamente a vigilância, e que só iria coletar dados a partir daquela data. Quanto a suspender, ou momentaneamente ignorar essa lei, a idéia dificilmente faz sentido”, acrescentou Stallman.

Para acessar o artigo na íntegra, click neste link.