Pour gérer vos consentements :
Categories: DéveloppeursLogicielsOpen SourceProjetsSécurité

Open Source : avec OSS-Fuzz, Google paye les développeurs qui testent leurs projets

En cinq mois, OSS-Fuzz, le programme lancé par Google en décembre dernier pour améliorer la robustesse de l’Open Source, a mis au jour plus de 1 000 bugs. Un quart d’entre eux étant susceptibles de se traduire par des failles de sécurité. Le programme de Google repose sur le Fuzzing, une technique de tests automatiques consistant à fournir des données invalides, non prévues ou aléatoires à des programmes, afin de détecter des crashs ou autres erreurs comme des corruptions de mémoire.

A ce jour, 47 projets Open Source ont rejoint l’initiative OSS-Fuzz. Ce qui a permis d’exhumer, par exemple, 10 vulnérabilités dans FreeType2, 17 dans FFmpeg, 33 dans LibreOffice, 8 dans SQLite 3, 10 dans GnuTLS, 25 dans PCRE2 ou encore 7 dans Wireshark. « Une fois le projet intégré à OSS-Fuzz, la nature continue et automatisée du projet signifie que nous isolons souvent ces problèmes seulement quelques heures après que la régression soit introduite dans le code source, et avant qu’un utilisateur ne soit affecté », écrivent quatre des responsables du projet sur le blog de Google.

Jusqu’à 20 000 dollars

Pour embarquer davantage de projets Open Source dans l’initiative, Google sort même… le carnet de chèques. Pour les logiciels éligibles – soit ceux disposant d’une large base d’utilisateurs ou ayant un rôle critique dans l’infrastructure IT globale -, Mountain View va débourser 1 000 dollars pour l’intégration initiale à OSS-Fuzz et même jusqu’à 20 000 dollars pour une « intégration idéale ».

« Combinée à la correction de tous les problèmes qui sont identifiés, [l’intégration à OSS-Fuzz] représente souvent un gros volume de travail pour des développeurs qui peuvent travailler à un projet Open Source sur leur temps libre », écrivent Oliver Chang, Abhishek Arya (ingénieurs sécurité de Chrome), Kostya Serebryany (ingénieur logiciel chez Google) et Josh Armour (directeur de programme de sécurité de Google). Pour toucher ces 20 000 dollars, les développeurs à la tête de projets Open Source devront toutefois satisfaire 4 conditions. Signalons que le fait de rallier le programme signifie que les développeurs acceptent les conditions de Google en matière de publicité sur les bugs : les programmeurs ont donc 90 jours pour corriger les défauts avant que ceux-ci ne soient rendus publics par Mountain View.

A lire aussi :

L’Open Source fait peser des risques sur la sécurité de l’entreprise

HackerOne ouvre ses Bug Bounties aux projets Open Source

Crédit Photo : Vchal-Shutterstock
Share
Published by
Reynald Fléchaux
Tags: boguebugfaillesGoogleHackerOne
7 années ago

Recent Posts

AWS abandonne WorkDocs, son concurrent de Dropbox

Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…

4 heures ago

Eviden structure une marque de « serveurs IA »

Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…

7 heures ago

SSE : l’expérience se simplifie plus que les prix

Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…

9 heures ago

IA générative : les lignes directrices de l’ANSSI

Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…

1 jour ago

De la marque blanche à l’« exemption souveraine », Broadcom fait des concessions aux fournisseurs cloud

À la grogne des partenaires VMware, Broadcom répond par diverses concessions.

1 jour ago

iPadOS finalement soumis au DMA

iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.

1 jour ago