Google a annoncé mardi 30 août étoffer son programme de bug bounty. L’objectif est de mettre en exergue la découverte de vulnérabilités dans ses solutions open source.
Les primes peuvent varier de 101 $ à 31 337 $ via le nouveau programme nommé OSS VRP (Open Source Software Vulnerability Reward Program).
Les versements les plus élevés concerneront « des vulnérabilités inhabituelles ou particulièrement intéressantes », notamment dans les projets open source les « plus sensibles » maintenus par Google : Bazel, Angular, Golang, Protocol Buffers et Fuchsia.
Un élément critique de la sécurité logicielle concerne les dépendances. Elles font donc partie du programme proposé aux « hackers éthiques » et autres chercheurs en sécurité.
Selon un récent rapport de la Fondation Linux, un projet moyen de développement applicatif présente 49 vulnérabilités et 80 dépendances directes à du code open source.
Or, la durée nécessaire pour corriger les failles dans ce domaine aurait plus que doublé en trois ans, passant de 49 jours en 2018 à 110 jours en 2021…
Google a donc tout intérêt à investir la sécurité participative.
La priorité est donnée aux découvertes de failles qui impactent la chaîne d’approvisionnement, ont précisé dans leur billet de blog Francis Perron et Krzysztof Kotowicz, respectivement responsable de programme et ingénieur infosec chez Google.
Par ailleurs, le choix du montant final d’une prime est « laissé à la discrétion » du jury des récompenses, indique Google. La multinationale technologique américaine applique cette même approche à l’ensemble des programmes de ses primes de chasse aux failles.
Justement, OSS VRP est le dernier né des programmes VRP, l’offre bug bounty initié en 2010 par Google. Depuis, 38 millions $ auraient été versés aux chercheurs en sécurité par ce biais.
Enfin, OSS VRP s’inscrit dans le cadre d’un effort de 10 milliards $ visant à renforcer la protection cyber de Google et, plus largement, de l’écosystème open source mondial.
(crédit photo © Shutterstock)
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…