Die Matrix.org Foundation nimmt am EU-FOSSA (EU - Free and Open Source Software Auditing) teil. Ziel des EU-FOSSA ist es, die Sicherheit von wichtiger Open-Source-Software zu erhöhen. Das Programm wird von der Europäischen Kommission finanziert.
Dadurch können Sicherheitsforscher Prämien von bis zu 5.000 Euro erhalten, wenn sie Sicherheitslücken in verschiedenen Matrix-Projekten, z.B. dem Synapse Homeserver oder den Element Apps, aufdecken. Zusätzlich können die Forscher einen 20-prozentigen Bonus bekommen, wenn sie zusätzlich zu ihrem Report einen entsprechenden Patch liefern. Insgesamt wurden 32.000 Euro von der Europäischen Kommission, bis Oktober 2021 zur Verfügung gestellt.
Projekte, für die Prämien gezahlt werden können, sind:
- Synapse (der verbreitetste Matrix-Homeserver)
- Sydent (ein Identitätsserver von Matrix)
- Sygnal (das Push-Gateway von Matrix)
- Olm (die Ende-zu-Ende-Verschlüsselung von Matrix)
- Element (Apps für Browser, Desktop, Android und iOS)
- Die Matrix-Referenz-SDKs für verschiedene Plattformen und Programmiersprachen (iOS, Android, JavaScript und React)
Das Programm wird über die Bug-Bounty-Plattform Intigriti durchgeführt. Diese bewertet eingehende Reports bevor sie an die Matrix-Entwickler weitergeleitet werden.
Projekt bei Intigriti: https://app.intigriti.com/programs/matrix/matrix/
Weitere Quellen:
https://matrix.org/blog/2021/01/13/matrix-selected-for-e-us-fossa-bug-bounty-programme
https://ec.europa.eu/info/departments/informatics/eu-fossa-2_de
