开源媒体播放器VLC的顶级开发者和臭虫赏金评论家分享了经验教训

人工智能2020-03-23 16:00:59
导读自2001年推出以来,这个广受欢迎的开源媒体播放器VLC的开发者发布了该项目最大的补丁,这得益于欧盟资助的漏洞赏金计划。但是,尽管通过错

自2001年推出以来,这个广受欢迎的开源媒体播放器VLC的开发者发布了该项目最大的补丁,这得益于欧盟资助的漏洞赏金计划。

但是,尽管通过错误奖励提高了安全性,VLC开发人员对基于奖励的模式感到矛盾,这使得他们处理“通常的安全混蛋”,“脚本小子”和诈骗者,据VLC背后的团队负责人说发展。

VLC是欧洲委员会 最新版自由开源软件审计(FOSSA)项目的14个项目之一,该项目由德国海盗党的欧盟议员Julia Reda于2018年底宣布。该项目支持在欧盟委员会中广泛使用的开源项目。

到目前为止,该计划吸引了来自研究人员的309个错误报告,其中130个被证实存在安全漏洞。总共发现了11个严重或高严重性的错误。

在VLC版本3.0.7中修复了其中一个高严重性错误,VLC开发人员于周五发布了该版本。它包含33个安全问题的修复程序,其中一个是VLC使用的MPEG解码器软件库中的高严重性缺陷。库不再维护。

VLC的首席开发人员和负责VLC开发的VideoLAN总裁Jean-Baptiste Kempf认为,以安全为中心的版本对VLC用户来说是一个很好的结果,它是该项目发布的最大安全更新。

VLC用户应更新到3.0.7版,以避免因错误奖励而发现的错误带来的安全风险。

尽管受到欧盟资助计划的VLC用户的好处,肯普夫关于bug-bounty计划价值的个人观点仍然是一个“混合包”。

他将自己描述为臭虫赏金的“大批评者”,主要是因为程序为安全研究人员或“随机黑客”提供资金,而不是VLC项目本身,最终负责修复错误并向用户分发更新。

肯普夫表示,VLC“在发现问题的同时提供了大量的额外奖励,以解决提供安全修复所需的内部资源问题”。

实际上,奖金是欧盟FOSSA资金的一部分,专门用于解决这一资源问题。发现错误的研究人员如果提供修复,可以获得基本奖励20%的奖励。

除了他对开源项目的bug奖励的激励结构的保留之外,Kempf对这类程序吸引的研究人员类型有一些严厉的说法。但对于像ele7enxxh这样的研究人员来说也很客气,他从13个有效的安全问题中获得了超过13,000欧元(14,700美元)的VLC错误奖金。

“我们有很多不同的黑客,从最好到最差的技术:很多脚本小子,人们告诉我们VLC源代码是可见的......但是对C有深刻理解的人,堆栈和内存问题,“肯普夫写道。

“我们有一些人,从通常的安全混蛋到一些最好的家伙,他们非常关心帮助我们。当与最好的人一起工作时,他们经常发送补丁来修复,”他继续道。

免责声明:本文由用户上传,如有侵权请联系删除!