Google n’est pas le seul proposer des programmes de primes aux bugs, qui incitent financirement les contributeurs reprer les vulnrabilits et les problmes de scurit dans ses logiciels. L’entreprise vient de lancer une nouvelle initiative appele « Programme de rcompense des vulnrabilits des logiciels open source » (OSS VRP).
Comme son nom l’indique, ce nouveau programme se concentre sur les projets open source de Google. L’entreprise offre des rcompenses allant de 100 31 337 dollars, en fonction de la gravit de la vulnrabilit.
Google rappelle qu’elle a dj vers plus de 38 millions de dollars pour des vulnrabilits dcouvertes dans des logiciels comme Chrome et Android. L’entreprise affirme que le lancement de ce nouveau programme « rpond la ralit de plus en plus rpandue de la compromission croissante de la chane d’approvisionnement« .
Les versements les plus importants du programme OSS VRP sont rservs ce que Google appelle les « projets les plus sensibles« . Par l, l’entreprise entend Bazel, Angular, Golang, Protocol buffers et Fuchsia, mais il s’agit d’une liste qui s’allongera avec le temps.
Google dclare :
» Pour concentrer les efforts sur les dcouvertes qui ont le plus grand impact sur la chane d’approvisionnement, nous accueillons les soumissions de :
– Les vulnrabilits qui conduisent la compromission de la chane d’approvisionnement
– les problmes de conception l’origine des vulnrabilits des produits
– d’autres problmes de scurit tels que des informations d’identification sensibles ou divulgues, des mots de passe faibles ou des installations non scurises. »
La socit ajoute :
« Si votre requte est particulirement inhabituelle, nous vous contacterons et travaillerons avec vous directement pour le triage et la rponse. En plus d’une rcompense, vous pouvez recevoir une reconnaissance publique pour votre contribution. Vous pouvez galement choisir de faire don de votre rcompense une organisation caritative en doublant le montant initial.
Vous n’tes pas sr qu’un bogue que vous avez dcouvert soit adapt au programme OSS VRP de Google ? Ne vous inquitez pas, si ncessaire, nous acheminerons votre soumission vers un autre PRV qui vous permettra d’obtenir le meilleur paiement possible. Nous vous encourageons galement consulter notre programme Patch Rewards, qui rcompense les amliorations de scurit apportes aux projets open source de Google (par exemple, jusqu’ 20 000 dollars pour les intgrations de fuzzing dans OSS-Fuzz). »
Source : Google
Et vous ?
Qu’en pensez-vous ?
Voir aussi :