Recherche

Open Source : Google complète son programme Patch Rewards

En 2020, Google enrichit son programme conçu pour inciter au renforcement de la sécurité de projets open source tiers et maison.

Publié par La rédaction le - mis à jour à
Lecture
2 min
  • Imprimer
Open Source : Google complète son programme Patch Rewards

Google a annoncé mercredi réorganiser son Patch Rewards Program. Le programme a été lancé en octobre 2013 pour récompenser les chasseurs de failles et l'apport de correctifs dans certains projets open source. À l'origine, Google s'engageait à soutenir les améliorations de sécurité apportées à ces projets, une fois implémentées les fonctionnalités en question.

Le programme évolue. À partir du 1er janvier 2020, Google « apportera également un soutien financier initial [aux projets sélectionnés] pour fournir aux développeurs open source une ressource supplémentaire permettant de prioriser le travail de sécurité », a indiqué dans un billet de blog Jan Keller, responsable de programme technique sécurité chez Google.

Deux niveaux d'incitation seront proposés : l'un à 5000 dollars, pour soutenir la résolution d'un petit nombre de problèmes de sécurité, y compris en appportant un correctif de failles identifiées lors d'un bug bounty, l'autre à 30 000 dollars pour « inciter un projet plus important à investir massivement dans la sécurité. »

Les soumissions de projets seront examinées chaque mois en vue d'un éventuel financement. « Lors de la sélection, le panel mettra l'accent sur les projets essentiels à la santé d'Internet ou sur les projets d'utilisateurs finaux avec une large base [d'internautes] », a ajouté Jan Keller.

Au-delà du Bug Bounty

Les évolutions annoncées viennent s'ajouter au programme Patch Rewards existant.

Les projets open source concernés par le programme, jusqu'ici, sont :

- Chromium, Blink, Omaha, AOSP
- Linux kernel (dont KVM)
- Apache httpd, lighttpd, nginx, Sendmail, Postfix, Exim, Dovecot
- OpenSSH, OpenVPN, BIND, ISC DHCP, University of Delaware NTPD
- libjpeg, libjpeg-turbo, libpng, giflib, zlib, libxml2
- OpenSSL, Mozilla NSS
- Google projet Certificate Transparency
- outils de sécurité pour GCC, binutils et llvm
- yum, apt, pip, npm
- Angular, Closure, Dart, Django, Dojo Foundation, Ember, GWT, Go, Jinja (Werkzeug, Flask), jQuery, Knockout, Polymer, Struts, Web2py, Wicket
- zlib, bzip2, tar, gzip, info-zip, cpio, xz, 7z, p7zip, ncompress, lzo
- logiciel critique utilisé pour le cloud : le proxy Envoy
- OSS-Fuzz

« Tout correctif ayant un impact démontrable, significatif et proactif sur la sécurité de l'un des projets concernés sera considéré pour une récompense », a insisté Google.

crédit photo © Shutterstock

Livres Blancs #cloud

Voir tous les livres blancs
S'abonner
au magazine
Se connecter
Retour haut de page