IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Mozilla a dépensé 40.000 dollars en un mois en récompenses
Pour les bogues et vulnérabilités qui lui ont été signalés

Le , par Katleen Erna

22PARTAGES

1  0 
Mozilla a dépensé 40.000 dollars en un mois en récompenses, pour les bogues et vulnérabilités qui lui ont été signalés

Il y a un mois, Mozilla annonçait augmenter le montant des récompenses attribuées aux génies dénichant des bugs dans ses produits.

L'annonce n'est visiblement pas tombée dans l'oreille d'un sourd, puisque depuis son entrée en vigueur, la Fondation a dépensé la coquette somme de 40.000 dollars en primes liées à son "Bug Bounty".

Les vulnérabilités ainsi découvertes touchaient le navigateur Firefox ainsi que quelques applications.

"Merci à toutes les personnes qui nous ont signalé des bogues, ce programme a été un véritable succès", déclare Mozilla.

La somme la plus conséquente attribuée a été de 3000 dollars pour une faille "extraordinaire", et la majorité des récompenses était de 500 dollars. Les bugs concernés seront révélés aussitôt qu'ils seront fixés.

Actuellement, Mozilla procède au tri des dernières contributions reçues, avant d'envoyer les paiements associés. De plus, certaines personnes dont les signalements n'ont pas été retenus, ont tout de même reçu en cadeau un t-shirt aux couleurs de la Fondation.

Source : Le blog de Mozilla

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 31/01/2011 à 20:50
Citation Envoyé par ProgVal
Normalement, le bugtracker d'un logiciel libre devrait être entièrement public. Et n'importe qui devrait être au courant des failles, pour pouvoir tenter de soumettre un patch s'il le souhaite.
Rien dans le libre n'oblige a rendre public le code ni aucune information sur les développements en cours (pas même la GPL). Tant que rien n'est distribué, on n'est pas tenu de fournir quoique ce soit.

Bien sur généralement les projets libres ne s'en privent pas, mais pour une faille de sécurité, c'est pas sérieux de la révéler tant qu'elle n'est pas corrigée, particulièrement pour Mozilla qui serait bien évidement attaqué dans les heures qui suivent.

Le bugtracker de Mozilla est bien ouvert au public. Mais si celui qui soumet un bug estime qu'il est sensible, il peut indiquer qu'il ne doit être visible qu'aux membres de confiance, tant qu'il n'est pas livré.
Ne t'inquiète pas, ces bugs ont une attention toute particulière, et sont patchés immédiatement.
Ils ne restent cachés que le temps de la prochaine sortie mineure(environ tous les mois), voire seulement le temps de faire les tests(2-3 jours) si des exploits sont connus.
4  0 
Avatar de Zack_r
Membre régulier https://www.developpez.com
Le 30/01/2011 à 12:21
Ou une façon d'amélioré un produit plus qu'il ne l'ai déjà, en faisant participer des personnes étrangères à la société, qui peuvent avoir une autre vision des choses, du coup ils n'ont pas les même contraintes, donc recherche d'une autre façon.

Personnellement j'aime bien ce genre d'initiative, ça a un aspect fortement communautaire.
3  1 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 31/01/2011 à 10:05
Citation Envoyé par Neko
L'idéal serait d'allier les 2 en fait. Non pas se reposer exclusivement sur "la communauté" mais aussi avoir des professionnels embauchés à tracer les bugs et failles, c'est d'ailleurs valable pour toutes sociétés. C'est peut-être déjà le cas mais en fait je pense pas qu'il y ai d'informations à ce sujet.
C'est heureusement le cas, la majorité des bugs et failles de sécurité corrigés sont détectés par Mozilla même. Il suffit de regarder les patch notes qui indiquent toutes les vulnérabilités corrigées.
2  0 
Avatar de Hellwing
Membre chevronné https://www.developpez.com
Le 31/01/2011 à 9:06
Citation Envoyé par ProgVal Voir le message
C'est pas digne d'un logiciel libre, ça...
Je serais curieux de connaître tes arguments pour oser affirmer une chose pareille. Personnellement je ne vois aucun rapport entre logiciel libre et ne pas divulguer les failles avant leur correction.
1  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 05/02/2011 à 22:58
C'est un choix, il n'en reste pas moins dangereux.

Mozilla ne cache pas les bugs dangereux bien longtemps. Des que la correction est publiée, ils sont rendus visible. Ça me parait un très bon compromis entre la transparence totale qui peut clairement aboutir a des exploit zero day si les pirates sont réactifs, et de ne rien annoncer du tout, ce qui serait pour le coup très inquiétant quant au sérieux de la sécurité.
1  0 
Avatar de Neko
Membre chevronné https://www.developpez.com
Le 30/01/2011 à 13:11
Citation Envoyé par Zack_r Voir le message
Ou une façon d'amélioré un produit plus qu'il ne l'ai déjà, en faisant participer des personnes étrangères à la société, qui peuvent avoir une autre vision des choses, du coup ils n'ont pas les même contraintes, donc recherche d'une autre façon.

Personnellement j'aime bien ce genre d'initiative, ça a un aspect fortement communautaire.
L'idéal serait d'allier les 2 en fait. Non pas se reposer exclusivement sur "la communauté" mais aussi avoir des professionnels embauchés à tracer les bugs et failles, c'est d'ailleurs valable pour toutes sociétés. C'est peut-être déjà le cas mais en fait je pense pas qu'il y ai d'informations à ce sujet.
0  0 
Avatar de ProgVal
Membre éclairé https://www.developpez.com
Le 05/02/2011 à 19:35
Uther : c'est exact, rien ne l'oblige (ça serait un peu stupide d'obliger à être libre (un de mes sujets de dissertation de philo, d'ailleurs).
Mais je vais quand même citer le Contrat Social de Debian, qui est une de( me)s références en la matière :

We will not hide problems
We will keep our entire bug report database open for public view at all times. Reports that people file online will promptly become visible to others.
0  0 
Avatar de joreveur
Membre averti https://www.developpez.com
Le 29/01/2011 à 15:34
Une façon de ne pas employer des gens à faire ce travail..
3  6 
Avatar de ProgVal
Membre éclairé https://www.developpez.com
Le 31/01/2011 à 18:45
Citation Envoyé par Hellwing Voir le message
Je serais curieux de connaître tes arguments pour oser affirmer une chose pareille. Personnellement je ne vois aucun rapport entre logiciel libre et ne pas divulguer les failles avant leur correction.
Normalement, le bugtracker d'un logiciel libre devrait être entièrement public. Et n'importe qui devrait être au courant des failles, pour pouvoir tenter de soumettre un patch s'il le souhaite.
0  6 
Avatar de ProgVal
Membre éclairé https://www.developpez.com
Le 30/01/2011 à 13:40
Citation Envoyé par Katleen Erna Voir le message
Les bugs concernés seront révélés aussitôt qu'ils seront fixés.
C'est pas digne d'un logiciel libre, ça...
0  11