Mozilla a dépensé 40.000 dollars en un mois en récompenses
Pour les bogues et vulnérabilités qui lui ont été signalés

Le , par Katleen Erna, Expert éminent sénior
Mozilla a dépensé 40.000 dollars en un mois en récompenses, pour les bogues et vulnérabilités qui lui ont été signalés

Il y a un mois, Mozilla annonçait augmenter le montant des récompenses attribuées aux génies dénichant des bugs dans ses produits.

L'annonce n'est visiblement pas tombée dans l'oreille d'un sourd, puisque depuis son entrée en vigueur, la Fondation a dépensé la coquette somme de 40.000 dollars en primes liées à son "Bug Bounty".

Les vulnérabilités ainsi découvertes touchaient le navigateur Firefox ainsi que quelques applications.

"Merci à toutes les personnes qui nous ont signalé des bogues, ce programme a été un véritable succès", déclare Mozilla.

La somme la plus conséquente attribuée a été de 3000 dollars pour une faille "extraordinaire", et la majorité des récompenses était de 500 dollars. Les bugs concernés seront révélés aussitôt qu'ils seront fixés.

Actuellement, Mozilla procède au tri des dernières contributions reçues, avant d'envoyer les paiements associés. De plus, certaines personnes dont les signalements n'ont pas été retenus, ont tout de même reçu en cadeau un t-shirt aux couleurs de la Fondation.

Source : Le blog de Mozilla


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de joreveur joreveur - Membre averti https://www.developpez.com
le 29/01/2011 à 15:34
Une façon de ne pas employer des gens à faire ce travail..
Avatar de Zack_r Zack_r - Membre régulier https://www.developpez.com
le 30/01/2011 à 12:21
Ou une façon d'amélioré un produit plus qu'il ne l'ai déjà, en faisant participer des personnes étrangères à la société, qui peuvent avoir une autre vision des choses, du coup ils n'ont pas les même contraintes, donc recherche d'une autre façon.

Personnellement j'aime bien ce genre d'initiative, ça a un aspect fortement communautaire.
Avatar de Neko Neko - Membre chevronné https://www.developpez.com
le 30/01/2011 à 13:11
Citation Envoyé par Zack_r  Voir le message
Ou une façon d'amélioré un produit plus qu'il ne l'ai déjà, en faisant participer des personnes étrangères à la société, qui peuvent avoir une autre vision des choses, du coup ils n'ont pas les même contraintes, donc recherche d'une autre façon.

Personnellement j'aime bien ce genre d'initiative, ça a un aspect fortement communautaire.

L'idéal serait d'allier les 2 en fait. Non pas se reposer exclusivement sur "la communauté" mais aussi avoir des professionnels embauchés à tracer les bugs et failles, c'est d'ailleurs valable pour toutes sociétés. C'est peut-être déjà le cas mais en fait je pense pas qu'il y ai d'informations à ce sujet.
Avatar de ProgVal ProgVal - Membre éclairé https://www.developpez.com
le 30/01/2011 à 13:40
Citation Envoyé par Katleen Erna  Voir le message
Les bugs concernés seront révélés aussitôt qu'ils seront fixés.

C'est pas digne d'un logiciel libre, ça...
Avatar de Hellwing Hellwing - Membre chevronné https://www.developpez.com
le 31/01/2011 à 9:06
Citation Envoyé par ProgVal  Voir le message
C'est pas digne d'un logiciel libre, ça...

Je serais curieux de connaître tes arguments pour oser affirmer une chose pareille. Personnellement je ne vois aucun rapport entre logiciel libre et ne pas divulguer les failles avant leur correction.
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 31/01/2011 à 10:05
Citation Envoyé par Neko
L'idéal serait d'allier les 2 en fait. Non pas se reposer exclusivement sur "la communauté" mais aussi avoir des professionnels embauchés à tracer les bugs et failles, c'est d'ailleurs valable pour toutes sociétés. C'est peut-être déjà le cas mais en fait je pense pas qu'il y ai d'informations à ce sujet.

C'est heureusement le cas, la majorité des bugs et failles de sécurité corrigés sont détectés par Mozilla même. Il suffit de regarder les patch notes qui indiquent toutes les vulnérabilités corrigées.
Avatar de ProgVal ProgVal - Membre éclairé https://www.developpez.com
le 31/01/2011 à 18:45
Citation Envoyé par Hellwing  Voir le message
Je serais curieux de connaître tes arguments pour oser affirmer une chose pareille. Personnellement je ne vois aucun rapport entre logiciel libre et ne pas divulguer les failles avant leur correction.

Normalement, le bugtracker d'un logiciel libre devrait être entièrement public. Et n'importe qui devrait être au courant des failles, pour pouvoir tenter de soumettre un patch s'il le souhaite.
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 31/01/2011 à 20:50
Citation Envoyé par ProgVal
Normalement, le bugtracker d'un logiciel libre devrait être entièrement public. Et n'importe qui devrait être au courant des failles, pour pouvoir tenter de soumettre un patch s'il le souhaite.

Rien dans le libre n'oblige a rendre public le code ni aucune information sur les développements en cours (pas même la GPL). Tant que rien n'est distribué, on n'est pas tenu de fournir quoique ce soit.

Bien sur généralement les projets libres ne s'en privent pas, mais pour une faille de sécurité, c'est pas sérieux de la révéler tant qu'elle n'est pas corrigée, particulièrement pour Mozilla qui serait bien évidement attaqué dans les heures qui suivent.

Le bugtracker de Mozilla est bien ouvert au public. Mais si celui qui soumet un bug estime qu'il est sensible, il peut indiquer qu'il ne doit être visible qu'aux membres de confiance, tant qu'il n'est pas livré.
Ne t'inquiète pas, ces bugs ont une attention toute particulière, et sont patchés immédiatement.
Ils ne restent cachés que le temps de la prochaine sortie mineure(environ tous les mois), voire seulement le temps de faire les tests(2-3 jours) si des exploits sont connus.
Avatar de ProgVal ProgVal - Membre éclairé https://www.developpez.com
le 05/02/2011 à 19:35
Uther : c'est exact, rien ne l'oblige (ça serait un peu stupide d'obliger à être libre (un de mes sujets de dissertation de philo, d'ailleurs).
Mais je vais quand même citer le Contrat Social de Debian, qui est une de( me)s références en la matière :
We will not hide problems
We will keep our entire bug report database open for public view at all times. Reports that people file online will promptly become visible to others.

Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 05/02/2011 à 22:58
C'est un choix, il n'en reste pas moins dangereux.

Mozilla ne cache pas les bugs dangereux bien longtemps. Des que la correction est publiée, ils sont rendus visible. Ça me parait un très bon compromis entre la transparence totale qui peut clairement aboutir a des exploit zero day si les pirates sont réactifs, et de ne rien annoncer du tout, ce qui serait pour le coup très inquiétant quant au sérieux de la sécurité.
Offres d'emploi IT
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil