Die EU hat ihr bereits 2014 erstmal gestartetes Programm „Fossa“ (Free and Open Source Software Audit) , welches darauf abzielt populäre, quelloffene (Open-Source) Software sicherer zu machen, nunmehr in der dritten Version zum Januar dieses Jahres umfassend erweitert. Dies soll mit einem „Kopfgeld“ für erkannte Schwachstellen, auch Bug-Bounty genannt, erreicht werden. Insgesamt stehen dafür rund 900.000 Euro, die auf 15 unterschiedliche Projekte verteilt werden, bereit. Im Durchschnitt wird ein unabhängiger Entwickler oder Forscher mit mehreren tausend Euro belohnt. Unter anderem sind folgende namhafte Applikationen Untersuchungsgegenstand: Apache Kafka, Notepad++, Filezilla, Drupal, Putty und VLC Media Player.

Der Gedanke von Bug-Bounty-Programmen entstand ursprünglich in der Industrie und verfolgt hierbei den Ansatz „nobody‘s perfect.“ Mit diesem neuen Selbstverständnis konnten neue Qualitative Niveaus in der Software Entwicklung erzielt werden. Unbeteiligte Dritte haben so ihre möglicherweise sehr wertvolle Expertise oder Anmerkung beigesteuert.

Die einzelnen „Fossa“- Programme zu den jeweiligen Applikationen werden hierzu über unterschiedliche Plattformen veröffentlicht und betreut. Unter Anderem auch über die weltweit größte und bekannteste Plattform für Bug-Bounties: HackerOne.

Mit „Fossa“ tut es die EU den USA gleich, wo bereits vor einiger Zeit das Programm „Hack the Pentagon“ für großes Aufsehen sorgte. In diesem wurden ambitionierte Hacker aufgefordert das Pentagon, eines der seit jeher beliebtesten Ziele für Hacker, zu attackieren. Die Angriffe werden hierbei durch den Programmrahmen des Bug-Bounties definiert und gegebenenfalls beschränkt.

Mittlerweile haben alle größeren Firmen mit einem relativ hohen informationstechnischen Anteil am Kerngeschäft, ein Bug-Bounty Programm aufgesetzt. Auf diesem Wege entdeckte schließlich auch der öffentliche Sektor, wie die EU als übergeordnete Supranation, Bug-Bounties für sich.