Google a annoncé mardi 30 août étoffer son programme de bug bounty. L’objectif est de mettre en exergue la découverte de vulnérabilités dans ses solutions open source.
Les primes peuvent varier de 101 $ à 31 337 $ via le nouveau programme nommé OSS VRP (Open Source Software Vulnerability Reward Program).
Les versements les plus élevés concerneront « des vulnérabilités inhabituelles ou particulièrement intéressantes », notamment dans les projets open source les « plus sensibles » maintenus par Google : Bazel, Angular, Golang, Protocol Buffers et Fuchsia.
Un élément critique de la sécurité logicielle concerne les dépendances. Elles font donc partie du programme proposé aux « hackers éthiques » et autres chercheurs en sécurité.
Selon un récent rapport de la Fondation Linux, un projet moyen de développement applicatif présente 49 vulnérabilités et 80 dépendances directes à du code open source.
Or, la durée nécessaire pour corriger les failles dans ce domaine aurait plus que doublé en trois ans, passant de 49 jours en 2018 à 110 jours en 2021…
Google a donc tout intérêt à investir la sécurité participative.
La priorité est donnée aux découvertes de failles qui impactent la chaîne d’approvisionnement, ont précisé dans leur billet de blog Francis Perron et Krzysztof Kotowicz, respectivement responsable de programme et ingénieur infosec chez Google.
Par ailleurs, le choix du montant final d’une prime est « laissé à la discrétion » du jury des récompenses, indique Google. La multinationale technologique américaine applique cette même approche à l’ensemble des programmes de ses primes de chasse aux failles.
Justement, OSS VRP est le dernier né des programmes VRP, l’offre bug bounty initié en 2010 par Google. Depuis, 38 millions $ auraient été versés aux chercheurs en sécurité par ce biais.
Enfin, OSS VRP s’inscrit dans le cadre d’un effort de 10 milliards $ visant à renforcer la protection cyber de Google et, plus largement, de l’écosystème open source mondial.
(crédit photo © Shutterstock)
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…