Het Europese Fossa 2-project is beëindigd. De operatie behelsde de inventarisatie, audit en verbetering van de beveiliging en veiligheid van de meest kritische opensourcesoftware die bij de Europese instellingen in gebruik is.
Het initiatief voor Fossa 2 werd in 2014 genomen nadat de beruchte Heartbleed-bug aan de oppervlakte kwam. Die kwetsbaarheid in OpenSSL veroorzaakte wereldwijd grote schade aan webservers. Plotseling was het duidelijk dat de veiligheid van vrije- en opensourcesoftware binnen de EU moest worden aangepakt. In 2015 kreeg het Europees Parlement (in het bijzonder Europarlementariërs Julia Reda en Max Andersson) een eerste budget van een miljoen euro en startte de Europese Commissie het EU-Fossa-proefproject (Free and Open Source Software Auditing). Na het succes van dit project heeft het Europees Parlement (Europees Parlementslid Mariejte Schaake was ook lid van het team) een extra financiering van 2,6 miljoen euro gegeven en is EU-Fossa 2 gestart met een ruimer mandaat.
Deze tweede operatie was gericht op het verkennen van innovatieve methoden voor het vinden en verhelpen van kwetsbaarheden van opensourcesoftware. Ook het leggen van contacten met de gemeenschap van opensourceontwikkelaars was een aandachtspunt. Het bestreek veel terrein met een relatief klein budget. Het project liep bij het Europees Parlement, de Europese Raad, de Europese Dienst voor extern optreden, het Europees Economisch en Sociaal Comité, het Comité van de Regio’s en de Europese Investeringsbank.
Er werden nieuwe inventarissen aangelegd van openbronsoftware bij de Commissie en de Europese Raad en ook het gebruik van openbronsoftware binnen overheidsdiensten wereldwijd werd bestudeerd. Een vijftiental bug bounty-programma’s binnen het project leidden tot het pletten van zo’n tweehonderd bugs. Een daarvan was meer dan twintig jaar oud. Er werd voor 200.000 euro aan beloningen uitgedeeld voor ethische hackers.
Er vonden ook drie hackathons plaats met opensourceontwikkelaars van PHP Symfony, de Apache Software Foundation en interne opensourceprojecten van de EU. Voor het eerst deelde de Commissie tijdens de ontwikkeling daarbij haar eigen broncode.
Het project heeft bovendien twee studies laten uitvoeren. Een over de laatste trends in opensource en ‘best practices’ binnen overheidsdiensten wereldwijd; de andere om eisen te stellen aan toekomstige opensourceprojecten met betrekking tot licenties en it-ondersteuning. Het bestudeerde ook de belemmeringen voor een groter gebruik van opensource en werkte samen met leiders uit de opensourcegemeenschap om oplossingen te vinden.
