Pour gérer vos consentements :

HackerOne ouvre ses Bug Bounties aux projets Open Source

Depuis l’affaire Heartbleed, la sécurité des projets Open Source fait couler beaucoup d’encre. Plusieurs acteurs IT et non des moindres, comme Google, Facebook et Microsoft, avaient alors lancé le projet Core Infrastructure Initiative pour soutenir les travaux sur la sécurité des projets Open Source.

Mais cette initiative n’empêche pas pour autant de découvrir des failles dans différents services Open Source. Y compris longtemps après leur  sortie. Pour apporter sa pierre, HackerOne, plateforme de recherche de bug, vient de lancer une offre Community Edition, gratuite, à destination de ces solutions. Cette proposition est identique à l’édition professionnelle à destination des grandes entreprises clientes de la plate-forme, comme Twitter, Dropbox, Adobe, Yahoo, Uber, GitHub, Snapchat, etc., sauf qu’elle n’offre pas d’assistance dédiée.

Quelques critères à respecter

Pour prétendre à un bug bounty gratuit sur HackerOne, les projets doivent remplir quelques critères. Ils doivent être actifs et afficher au moins 3 mois d’existence (au regard des livrables et des contributions au code) ; ils doivent fonctionner sous une licence compatible OSI ; ils doivent être prêts à ajouter un fichier security.md à la racine de leur projet ; ils doivent afficher un lien vers le bug bounty HackerOne sur la page d’accueil du projet ou dans le menu de navigation et, enfin, ils doivent s’engager à répondre aux tickets de sécurité dans un délai d’une semaine.

Il n’y a par contre aucune limite, ni aucun critère relatif à la popularité du projet. Ainsi, n’importe quel service peut soumissionner, depuis les plugins jQuery jusqu’aux CRM les plus complexes et aux plateformes de e-commerce. HackerOne indique que plusieurs solutions Open Source l’ont déjà rejoint, avant même l’annonce de l’édition communautaire. Et de citer Django, Discourse, Ruby, Ruby on Rails, Brave, GitLab et Sentry.

50 ingénieurs de Google sauvent des projets de Mad Gadget

Cette démarche intervient au moment où Google vient de lever sur le voile sur une opération nommée Rosehub qui a mobilisé 50 de ses ingénieurs pendant 2 ans. Ces professionnels ont pris sur leur temps de travail pour corriger une faille critique dans Java qui touchait plusieurs milliers de projets Open Source. Cette vulnérabilité, connue sous le nom Mad Gadget en interne, a été découverte au début 2015 et a commencé à faire parler d’elle à la fin de cette même année. Cette faille a été utilisée notamment dans le cadre du piratage par un ransomware de la société des transports en commun de San Francisco.

A lire aussi :

Le Bug Bounty de l’US Army trouve une faiblesse du réseau interne

Hack le Pentagone : déjà 100 bugs découverts

Crédit photo : GlebStock / Shutterstock

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

14 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

15 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

18 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

22 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

24 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

2 jours ago