Google lance un nouveau programme de rcompense pour les vulnrabilits des logiciels open source (OSS VRP) Les rcompenses vont de 100 31 337 dollars, en fonction de la gravit de la vulnrabilit

Des dmocrates amricains demandent Google de limiter la golocalisation avant l'abrogation de l'arrt autorisant l'avortement aux tats-Unis, Dans une lettre Sundar Pichai, PDG de Google



Google n’est pas le seul proposer des programmes de primes aux bugs, qui incitent financirement les contributeurs reprer les vulnrabilits et les problmes de scurit dans ses logiciels. L’entreprise vient de lancer une nouvelle initiative appele « Programme de rcompense des vulnrabilits des logiciels open source » (OSS VRP).

Comme son nom l’indique, ce nouveau programme se concentre sur les projets open source de Google. L’entreprise offre des rcompenses allant de 100 31 337 dollars, en fonction de la gravit de la vulnrabilit.

Google rappelle qu’elle a dj vers plus de 38 millions de dollars pour des vulnrabilits dcouvertes dans des logiciels comme Chrome et Android. L’entreprise affirme que le lancement de ce nouveau programme « rpond la ralit de plus en plus rpandue de la compromission croissante de la chane d’approvisionnement« .

Les versements les plus importants du programme OSS VRP sont rservs ce que Google appelle les « projets les plus sensibles« . Par l, l’entreprise entend Bazel, Angular, Golang, Protocol buffers et Fuchsia, mais il s’agit d’une liste qui s’allongera avec le temps.

Google dclare :

 » Pour concentrer les efforts sur les dcouvertes qui ont le plus grand impact sur la chane d’approvisionnement, nous accueillons les soumissions de :

– Les vulnrabilits qui conduisent la compromission de la chane d’approvisionnement

– les problmes de conception l’origine des vulnrabilits des produits

– d’autres problmes de scurit tels que des informations d’identification sensibles ou divulgues, des mots de passe faibles ou des installations non scurises. »

La socit ajoute :

« Si votre requte est particulirement inhabituelle, nous vous contacterons et travaillerons avec vous directement pour le triage et la rponse. En plus d’une rcompense, vous pouvez recevoir une reconnaissance publique pour votre contribution. Vous pouvez galement choisir de faire don de votre rcompense une organisation caritative en doublant le montant initial.

Vous n’tes pas sr qu’un bogue que vous avez dcouvert soit adapt au programme OSS VRP de Google ? Ne vous inquitez pas, si ncessaire, nous acheminerons votre soumission vers un autre PRV qui vous permettra d’obtenir le meilleur paiement possible. Nous vous encourageons galement consulter notre programme Patch Rewards, qui rcompense les amliorations de scurit apportes aux projets open source de Google (par exemple, jusqu’ 20 000 dollars pour les intgrations de fuzzing dans OSS-Fuzz). »

Source : Google

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Le plan de Google pour que le dveloppement de puces ressemble davantage un logiciel open source, l’entreprise lance un portail permettant aux dveloppeurs de concevoir leur propre silicium

Amazon, Microsoft et Google font participer plus d’employs que jamais l’open source, le nombre total de contributeurs actifs ayant augment de 300 % en six ans, selon une nouvelle analyse d’Aiven

Google versera un million de dollars chacun de ses cadres suprieurs aprs avoir refus d’augmenter le salaire de ses employs, selon un document dpos auprs de la SEC



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.