Bug Bounty : Google lance le programme OSS VRP

Ariane Beky,
Linkedin

Via le programme OSS VRP, Google veut mieux récompenser la découverte de failles de sécurité dans ses projets open source les « plus sensibles ».

Google a annoncé mardi 30 août étoffer son programme de bug bounty. L’objectif est de mettre en exergue la découverte de vulnérabilités dans ses solutions open source.

Les primes peuvent varier de 101 $ à 31 337 $ via le nouveau programme nommé OSS VRP (Open Source Software Vulnerability Reward Program).

Les versements les plus élevés concerneront « des vulnérabilités inhabituelles ou particulièrement intéressantes », notamment dans les projets open source les « plus sensibles » maintenus par Google : Bazel, Angular, Golang, Protocol Buffers et Fuchsia.

Un élément critique de la sécurité logicielle concerne les dépendances. Elles font donc partie du programme proposé aux « hackers éthiques » et autres chercheurs en sécurité.

Selon un récent rapport de la Fondation Linux, un projet moyen de développement applicatif présente 49 vulnérabilités et 80 dépendances directes à du code open source.

Or, la durée nécessaire pour corriger les failles dans ce domaine aurait plus que doublé en trois ans, passant de 49 jours en 2018 à 110 jours en 2021…

Google a donc tout intérêt à investir la sécurité participative.

Sécuriser la chaîne d’approvisionnement

La priorité est donnée aux découvertes de failles qui impactent la chaîne d’approvisionnement, ont précisé dans leur billet de blog Francis Perron et Krzysztof Kotowicz, respectivement responsable de programme et ingénieur infosec chez Google.

Par ailleurs, le choix du montant final d’une prime est « laissé à la discrétion » du jury des récompenses, indique Google. La multinationale technologique américaine applique cette même approche à l’ensemble des programmes de ses primes de chasse aux failles.

Justement, OSS VRP est le dernier né des programmes VRP, l’offre bug bounty initié en 2010 par Google. Depuis, 38 millions $ auraient été versés aux chercheurs en sécurité par ce biais.

Enfin, OSS VRP s’inscrit dans le cadre d’un effort de 10 milliards $ visant à renforcer la protection cyber de Google et, plus largement, de l’écosystème open source mondial.

(crédit photo © Shutterstock)