Google n'est pas le seul à proposer des programmes de primes aux bugs, qui incitent financièrement les contributeurs à repérer les vulnérabilités et les problèmes de sécurité dans ses logiciels. L'entreprise vient de lancer une nouvelle initiative appelée "Programme de récompense des vulnérabilités des logiciels open source" (OSS VRP).Comme son nom l'indique, ce nouveau programme se concentre sur les projets open source de Google. L'entreprise offre des récompenses allant de 100 à 31 337 dollars, en fonction de la gravité de la vulnérabilité.
Google rappelle qu'elle a déjà versé plus de 38 millions de dollars pour des vulnérabilités découvertes dans des logiciels comme Chrome et Android. L'entreprise affirme que le lancement de ce nouveau programme "répond à la réalité de plus en plus répandue de la compromission croissante de la chaîne d'approvisionnement".
Les versements les plus importants du programme OSS VRP sont réservés à ce que Google appelle les "projets les plus sensibles". Par là, l'entreprise entend Bazel, Angular, Golang, Protocol buffers et Fuchsia, mais il s'agit d'une liste qui s'allongera avec le temps.
Google déclare :
" Pour concentrer les efforts sur les découvertes qui ont le plus grand impact sur la chaîne d'approvisionnement, nous accueillons les soumissions de :
- Les vulnérabilités qui conduisent à la compromission de la chaîne d'approvisionnement
- les problèmes de conception à l'origine des vulnérabilités des produits
- d'autres problèmes de sécurité tels que des informations d'identification sensibles ou divulguées, des mots de passe faibles ou des installations non sécurisées."
La société ajoute :
"Si votre requête est particulièrement inhabituelle, nous vous contacterons et travaillerons avec vous directement pour le triage et la réponse. En plus d'une récompense, vous pouvez recevoir une reconnaissance publique pour votre contribution. Vous pouvez également choisir de faire don de votre récompense à une organisation caritative en doublant le montant initial.
Vous n'êtes pas sûr qu'un bogue que vous avez découvert soit adapté au programme OSS VRP de Google ? Ne vous inquiétez pas, si nécessaire, nous acheminerons votre soumission vers un autre PRV qui vous permettra d'obtenir le meilleur paiement possible. Nous vous encourageons également à consulter notre programme Patch Rewards, qui récompense les améliorations de sécurité apportées aux projets open source de Google (par exemple, jusqu'à 20 000 dollars pour les intégrations de fuzzing dans OSS-Fuzz)."
Source : Google
Et vous ?
Qu'en pensez-vous ?Voir aussi :
Le plan de Google pour que le développement de puces ressemble davantage à un logiciel open source, l'entreprise lance un portail permettant aux développeurs de concevoir leur propre silicium Amazon, Microsoft et Google font participer plus d'employés que jamais à l'open source, le nombre total de contributeurs actifs ayant augmenté de 300 % en six ans, selon une nouvelle analyse d'Aiven Google versera un million de dollars à chacun de ses cadres supérieurs après avoir refusé d'augmenter le salaire de ses employés, selon un document déposé auprès de la SEC