Pour gérer vos consentements :
Categories: LogicielsOpen SourceSécurité

Google va payer les développeurs améliorant la sécurité des logiciels open source

En matière de sécurité, Google fait le maximum pour que les failles soient découvertes et comblées en toute transparence. Afin de limiter (casser ?) le marché des failles zero day, la firme rétribue en effet les personnes découvrant des vulnérabilités dans ses services web, et son navigateur web Chrome.

Google étend aujourd’hui ce service à un large ensemble de logiciels open source.

« Nous bénéficions tous de l’incroyable travail bénévole accompli par la communauté open source. C’est pourquoi nous continuons à nous demander comment allier ce modèle de développement à notre Vulnerability Reward Program, afin d’améliorer la sécurité des logiciels essentiels à la santé de l’ensemble d’Internet, » explique Michal Zalewski de la Google Security Team, sur le blogue sécurité de la firme.

Plutôt que de payer les chercheurs corrigeant des failles de sécurité dans les logiciels open source, Google a opté pour un modèle différent : rétribuer les développeurs effectuant des changements dans du code open source afin d’en améliorer le niveau de sécurité.

Un programme en deux étapes

Google va donc verser de l’argent aux personnes améliorant la sécurité certains de composants clés du monde open source. Seront initialement concernés les produits suivants :

  • Services d’infrastructure réseau : OpenSSH, BIND, ISC DHCP ;
  • Outils de traitement d’images : libjpeg, libjpeg-turbo, libpng, giflib ;
  • Fondations de Google Chrome : Chromium, Blink ;
  • Autres librairies : OpenSSL, zlib ;
  • Composants critiques du noyau Linux (y compris KVM).

Cette première vague servira en partie les intérêts de Google, ces composants étant en majeure partie utilisés au sein de Chrome et de Chrome OS.

Dans un second temps, le programme sera étendu aux composants open source suivants :

  • Serveurs web : Apache httpd, lighttpd, nginx ;
  • Services SMTP : Sendmail, Postfix, Exim ;
  • Outils de développement : GCC, binutils, llvm ;
  • Virtual private networking : OpenVPN.

Le modèle de rétribution reste classique (par rapport aux programmes de découverte de failles de Google), avec le versement de primes allant de 500 dollars à 3133,7 dollars pour les correctifs retenus.

Voir aussi
Quiz Silicon.fr – 10 questions sur Google

Share
Published by
David Feugey
Tags: GoogleOpenVPNsecure-itvulnérabilité
11 années ago

Recent Posts

AWS prend ses distances avec VMware version Broadcom

Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…

4 heures ago

Avec ZTDNS, Microsoft essuie les plâtres du zero trust appliqué au DNS

Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…

7 heures ago

Atos sur la voie d’un sauvetage ? Point de situation

Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…

9 heures ago

AWS abandonne WorkDocs, son concurrent de Dropbox

Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…

3 jours ago

Eviden structure une marque de « serveurs IA »

Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…

3 jours ago

SSE : l’expérience se simplifie plus que les prix

Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…

3 jours ago