VLC: Die EU bezahlt jetzt ein Security-Programm für den Player

Als einer der populärsten Media-Player der Welt ist es von einiger Bedeutung, dass der VLC auch hinsichtlich der Sicherheit seines Codes gut aufgestellt ist. Damit sich die Situation möglichst bessert, wird die Software nun von der EU unter die Fittiche genommen und mit einem Bug Bounty-Programm versehen. Auf EU-Ebene gibt es schon seit einiger Zeit das Projekt "Free Open Source Software Analysis" (FOSSA), über das Sicherheits-Maßnahmen für einige wichtige Open Source-Projekte finanziert werden. Direkt nach der Gründung, bei dem FOSSA mit einem Startkapital von einer Million Euro ausgestattet wurde, finanzierte man so beispielsweise Audits des Webservers Apache, über den weltweit die meisten Webseiten ausgeliefert werden.

Nun wird also das VLC-Projekt mit unter das Dach FOSSAs geholt. Das Europäische Parlament hat die benötigten Budget-Planungen der EU-Kommission gerade abgesegnet. Das Bug Bounty-Programm ist allerdings nicht öffentlich, sondern arbeitet mit zuvor registrierten Experten zusammen. Diese sollen nun den Code des Media Players unter die Lupe nehmen. Mögliche Schwachstellen können bis Ende Januar eingereicht werden. Diese werden dann mit Beträgen zwischen 100 und 3.000 Euro honoriert.

VLC-Entwickler stufen Bugs ein

Welche Einreichungen für welche Belohnungen in Frage kommen, wird dabei vom VLC-Team entschieden, das mit FOSSA zusammenarbeitet. Abhängig ist dies von der Schwere und dem Umfang der jeweiligen Schwachstelle. Das können die Entwickler hinter der Open Source-Software selbst natürlich am Besten beurteilen.

Organisiert wird das Security-Projekt zu Gunsten des VLC über die Plattform HackerOne. Über diese können sich interessierte Sicherheits-Forscher auch für eine Teilnahme bewerben. Ob eine Aufnahme erfolgt, hängt dann von verschiedenen Faktoren wie Referenzen zu bisherigen Arbeiten und auch dem allgemeinen Image des Bewerbers in der Security-Szene ab.

Download VLC Media Player - Audio- & Video-Player