La chasse aux failles est ouverte chez GitHub
Avec des récompenses comprises entre 100 et 5 000 dollars

Le , par Stéphane le calme, Chroniqueur Actualités
La chasse aux failles est ouverte chez GitHub,
avec des récompenses comprises entre 100 et 5 000 dollars

GitHub a lancé le programme GitHub Bug Bounty pour « mieux s'engager avec les chercheurs en sécurité ». Pour chaque faille découverte, le chercheur recevra en retour une récompense comprise entre 100 et 5 000 dollars. Le programme ne s'intéresse qu'aux failles trouvées sur l'API GitHub, GitHub Gist et également le site web lui même GitHub.com. Même si ce sont les seules parties à entrer dans la compétition, GitHub explique que les vulnérabilités trouvées ailleurs « pourraient recevoir des récompenses pécuniaires à notre discrétion. »

Alors comment seront calculées les primes ? GitHub se basera sur les risques réels encourus et l'impact sur les utilisateurs pour les chiffrer. « Si vous trouvez une faille XSS uniquement exploitable sur Opera, qui représente moins de 2% de notre trafic, alors la récompense sera faible. Mais un XSS persistant qui fonctionne sur Chrome, qui compte pour plus de 60% de notre trafic, recevra en retour une plus grande récompense » explique GitHub en guise d'exemple concret.

La sécurité des données est une notion qui est de plus en plus récurrente. Après le concours Pwn2Own qui réunit les grandes enseignes de la technologie, il n'est pas surprenant de voir GitHub leur emboîter le pas. Même si les récompenses proposées sont encore loin d'atteindre les sommes records qui ont été versées à certains hackers durant l'évènement canadien, GitHub affiche là sa volonté de protéger du mieux que possible les données de ses utilisateurs.

Source : GitHub

Et vous ?

Qu'en pensez-vous ? Ces programmes sont-ils, selon vous, la meilleure réponse aux failles de sécurité qu'une embauche à plein temps d'un personnel qualifié ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Saverok Saverok - Expert éminent https://www.developpez.com
le 03/02/2014 à 9:42
Qu'en pensez-vous ? Ces programmes sont-ils, selon vous, la meilleure réponse aux failles de sécurité qu'une embauche à plein temps d'un personnel qualifié ?

A mon avis, ces opérations de détection de failles ouvertes aux chercheurs et aux hackers sont de belles opérations mais elles complètent le travail quotidien des employés à plein temps
Car ces opérations sont publiques et que c'est aussi une grosse opération de com.
Si l'application est pleine de bugs et/ou de failles, l’opération se retournera contre l'éditeur avec une très mauvaise presse
l'idée est de jouer la transparence et si par chance, aucune faille n'est trouvée, c'est encore mieux
donc autant bien assurer ses arrières
Offres d'emploi IT
Architecte électronique de puissance expérimenté H/F
Safran - Ile de France - Villaroche - Réau
Spécialiste systèmes informatiques qualité et référent procédure H/F
Safran - Ile de France - Colombes (92700)
Consultant sap finance/controlling H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil