开源媒体播放器VLC的顶级开发者和臭虫赏金评论家分享了经验教训

自2001年推出以来，这个广受欢迎的开源媒体播放器VLC的开发者发布了该项目最大的补丁，这得益于欧盟资助的漏洞赏金计划。

但是，尽管通过错误奖励提高了安全性，VLC开发人员对基于奖励的模式感到矛盾，这使得他们处理“通常的安全混蛋”，“脚本小子”和诈骗者，据VLC背后的团队负责人说发展。

VLC是欧洲委员会 最新版自由开源软件审计(FOSSA)项目的14个项目之一，该项目由德国海盗党的欧盟议员Julia Reda于2018年底宣布。该项目支持在欧盟委员会中广泛使用的开源项目。

到目前为止，该计划吸引了来自研究人员的309个错误报告，其中130个被证实存在安全漏洞。总共发现了11个严重或高严重性的错误。

在VLC版本3.0.7中修复了其中一个高严重性错误，VLC开发人员于周五发布了该版本。它包含33个安全问题的修复程序，其中一个是VLC使用的MPEG解码器软件库中的高严重性缺陷。库不再维护。

VLC的首席开发人员和负责VLC开发的VideoLAN总裁Jean-Baptiste Kempf认为，以安全为中心的版本对VLC用户来说是一个很好的结果，它是该项目发布的最大安全更新。

VLC用户应更新到3.0.7版，以避免因错误奖励而发现的错误带来的安全风险。

尽管受到欧盟资助计划的VLC用户的好处，肯普夫关于bug-bounty计划价值的个人观点仍然是一个“混合包”。

他将自己描述为臭虫赏金的“大批评者”，主要是因为程序为安全研究人员或“随机黑客”提供资金，而不是VLC项目本身，最终负责修复错误并向用户分发更新。

肯普夫表示，VLC“在发现问题的同时提供了大量的额外奖励，以解决提供安全修复所需的内部资源问题”。

实际上，奖金是欧盟FOSSA资金的一部分，专门用于解决这一资源问题。发现错误的研究人员如果提供修复，可以获得基本奖励20%的奖励。

除了他对开源项目的bug奖励的激励结构的保留之外，Kempf对这类程序吸引的研究人员类型有一些严厉的说法。但对于像ele7enxxh这样的研究人员来说也很客气，他从13个有效的安全问题中获得了超过13,000欧元(14,700美元)的VLC错误奖金。

“我们有很多不同的黑客，从最好到最差的技术：很多脚本小子，人们告诉我们VLC源代码是可见的......但是对C有深刻理解的人，堆栈和内存问题，“肯普夫写道。

“我们有一些人，从通常的安全混蛋到一些最好的家伙，他们非常关心帮助我们。当与最好的人一起工作时，他们经常发送补丁来修复，”他继续道。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！