Initié en 2014, le programme GitHub de primes de chasse aux bugs informatiques prend de l’ampleur. « De février 2020 à février 2021, nous avons traité un volume plus élevé de contributions que les années précédentes », a déclaré Greg Ose, directeur ingénierie de sécurité produits. GitHub précise avoir reçu « 1066 contributions » via ses programmes privés et publics de bug bounty sur la période.
Selon l’entreprise, les premières réponses aux contributeurs ont été fournies dans les 13 heures en moyenne, soit 4 heures de moins qu’en 2019. La plateforme de développement et de code partagé indique également avoir validé et trié des rapports de vulnérabilité dans les 24 heures. Quant aux primes, elles auraient été versées 24 jours, en moyenne, après la soumission d’un rapport valide.
Sur la seule année 2020, 524 250 dollars ont ainsi été attribués à des chercheurs en sécurité pour avoir découvert et résolu 203 vulnérabilités dans les produits et services GitHub, précise la filiale de Microsoft. Et, depuis 2016, lorsque le programme GitHub de bug bounty a été porté par HackerOne, les sommes versées par GitHub aux chasseurs de failles critiques ont dépassé 1,5 million de dollars. La dynamique doit se poursuivre.
2021 est une année « d’importants investissements et de croissance pour le programme de sécurité de GitHub », a expliqué Greg Ose.
« En juin, nous avons créé une nouvelle équipe interne dédiée à l’exécution et à la croissance de notre programme de bug bounty. Cette équipe va contribuer à l’accélération de notre processus de tri et de réponse, ainsi qu’au déploiement de nouvelles initiatives, dont des événements live autour du hacking et l’ajout de programmes privés de bug bounty supplémentaires », a-t-il ajouté.
Ces annonces interviennent après que GitHub a récemment indiqué clarifier sa politique de recherche de vulnérabilités, malwares et exploits.
(crédit photo © DASPRiD / CC BY 2.0)
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.
Elon Musk avait racheté le nom de domaine X.com à PayPal en 2017. Depuis juillet 2023,…
Des centaines d'ingénieurs en IA et cloud travaillant pour Microsoft se voient proposer de quitter…
Reddit s'ajoute à la liste des « partenaires data » d'OpenAI. Qui rejoint-il ?
Younited a utilisé PaLM 2 puis Gemini pour catégoriser des transactions bancaires en vue de…
Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…