Pour gérer vos consentements :

Open Source : Google complète son programme Patch Rewards

Google a annoncé mercredi réorganiser son Patch Rewards Program. Le programme a été lancé en octobre 2013 pour récompenser les chasseurs de failles et l’apport de correctifs dans certains projets open source. À l’origine, Google s’engageait à soutenir les améliorations de sécurité apportées à ces projets, une fois implémentées les fonctionnalités en question.

Le programme évolue. À partir du 1er janvier 2020, Google « apportera également un soutien financier initial [aux projets sélectionnés] pour fournir aux développeurs open source une ressource supplémentaire permettant de prioriser le travail de sécurité », a indiqué dans un billet de blog Jan Keller, responsable de programme technique sécurité chez Google.

Deux niveaux d’incitation seront proposés : l’un à 5000 dollars, pour soutenir la résolution d’un petit nombre de problèmes de sécurité, y compris en appportant un correctif de failles identifiées lors d’un bug bounty, l’autre à 30 000 dollars pour « inciter un projet plus important à investir massivement dans la sécurité. »

Les soumissions de projets seront examinées chaque mois en vue d’un éventuel financement. « Lors de la sélection, le panel mettra l’accent sur les projets essentiels à la santé d’Internet ou sur les projets d’utilisateurs finaux avec une large base [d’internautes] », a ajouté Jan Keller.

Au-delà du Bug Bounty

Les évolutions annoncées viennent s’ajouter au programme Patch Rewards existant.

Les projets open source concernés par le programme, jusqu’ici, sont :

– Chromium, Blink, Omaha, AOSP
– Linux kernel (dont KVM)
– Apache httpd, lighttpd, nginx, Sendmail, Postfix, Exim, Dovecot
– OpenSSH, OpenVPN, BIND, ISC DHCP, University of Delaware NTPD
– libjpeg, libjpeg-turbo, libpng, giflib, zlib, libxml2
– OpenSSL, Mozilla NSS
– Google projet Certificate Transparency
– outils de sécurité pour GCC, binutils et llvm
– yum, apt, pip, npm
– Angular, Closure, Dart, Django, Dojo Foundation, Ember, GWT, Go, Jinja (Werkzeug, Flask), jQuery, Knockout, Polymer, Struts, Web2py, Wicket
– zlib, bzip2, tar, gzip, info-zip, cpio, xz, 7z, p7zip, ncompress, lzo
– logiciel critique utilisé pour le cloud : le proxy Envoy
– OSS-Fuzz

« Tout correctif ayant un impact démontrable, significatif et proactif sur la sécurité de l’un des projets concernés sera considéré pour une récompense », a insisté Google.

crédit photo © Shutterstock

Recent Posts

Pour son premier LLM codeur ouvert, Mistral AI choisit une architecture alternative

Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…

3 heures ago

Microsoft x Inflection AI : l’autorité de la concurrence britannique lance son enquête

L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…

6 heures ago

Thomas Gourand, nouveau Directeur Général de Snowflake en France

Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…

7 heures ago

Accord Microsoft-CISPE : comment Google a tenté la dissuasion

Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…

7 heures ago

Vers des mises à jour cumulatives intermédiaires pour Windows

Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…

8 heures ago

RH, finances, stratégie… Les complexités de la Dinum

De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…

1 jour ago