Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google récompense les découvertes de failles dans des logiciels Open Source
Une initiative en phase de test

Le , par Stéphane le calme

21PARTAGES

3  1 
Dans son traditionnel programme de récompenses des chasseurs de vulnérabilités amorcé en novembre 2010, Google a apporté une nouvelle clause. Cette fois-ci, les développeurs ne se contenteront plus de mettre à l'épreuve uniquement des solutions directement éditées par la firme puisqu'ils pourront aussi faire de même pour des logiciels Open Source.

« Nous avons décidé d'essayer quelque chose de nouveau. » explique Michal Zalewsk de l'équipe de sécurité de Google qui reconnaît au passage le travail des volontaires des communautés open source qui profite à tous . « Un bon nombre de vulnérabilités proviennent d'erreurs de codage évitables ou sont plus faciles à exploiter en raison de l'absence de techniques d'atténuation simples. Nous espérons résoudre ce problème dans une certaine mesure » poursuit-il.

C'est dans ce contexte que Google délimitera le champ d'action des développeurs. L'entreprise explique que « toute conception ou problème de mise en œuvre qui affecte sensiblement la confidentialité ou l'intégrité des données de l'utilisateur est susceptible d'être portée au programme. ». La société a donc sélectionné plusieurs des programmes Open-Source et bibliothèques de code les plus utilisés dans le networking, l'analyse d'image et la sécurité parmi lesquels OpenSSH, OpenSSL , BIND ou encore libjpeg et libpng. Kernel Based Virtual Machine et d'autres composants communs du noyau Linux font aussi partie de la liste.

Par la suite, Google devrait étendre le programme à des serveurs Web comme Apache et nginx ainsi qu'à des services SMTP comme Sendmail et Postfix et des logiciels VPN comme OpenVPN a expliqué Michal Zalewsk.

Les récompenses varieront de 500 $ à 20 000 $. Les vulnérabilités les moins rentables sont celles qui sont liées à XSRF, XSSI et d'autres failles communes au web et elles varient entre 500 $ et 3,133 $. Les plus rentables appartiennent à la catégorie des exécutions de code à distance et sont payées 20 000 $.

Source : Blog Google, Vulnerability Reward Program

Et vous ?

Que pensez-vous de cette initiative ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Code62
Membre éclairé https://www.developpez.com
Le 12/10/2013 à 0:06
Citation Envoyé par Stéphane le calme Voir le message
varient entre 500 $ et 3,133 $
3,133.7
si on vire le .7, c'est beaucoup moins amusant :p

A part ça: c'est une super initiative :o
1  0 
Avatar de Zefling
Membre expert https://www.developpez.com
Le 12/10/2013 à 10:52
3,133.7 pour « eleet »

Sinon c'est sur que sans le .7 ça le fait pas.

Google fait aussi ça dans son intérêt, mais bon, comme ça sert aussi l'intérêt commun, c'est assez difficile de critiquer négativement la chose.
0  0 
Avatar de abriotde
Membre expérimenté https://www.developpez.com
Le 14/10/2013 à 8:34
C'est en plein accord avec le principe de l'Open-Source : J'ai besoin de ce logiciel, je l'utilise, au besoin je l'améliore et cela profite a tous. Merci a tout ceux qui participent a leur développement en respectant leur principe. Google en fait partie.
PS : trouver une faille dans OpenSSH, n'est a mon avis pas rentable au sens ou c'est extrêmement difficile. Si j'étais Hacker ou société de sécurité, je m'attaquerait au reste.
0  0