Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La chasse aux failles est ouverte chez GitHub
Avec des récompenses comprises entre 100 et 5 000 dollars

Le , par Stéphane le calme

23PARTAGES

2  0 
La chasse aux failles est ouverte chez GitHub,
avec des récompenses comprises entre 100 et 5000 dollars

GitHub a lancé le programme GitHub Bug Bounty pour « mieux s'engager avec les chercheurs en sécurité ». Pour chaque faille découverte, le chercheur recevra en retour une récompense comprise entre 100 et  000 dollars. Le programme ne s'intéresse qu'aux failles trouvées sur l'API GitHub, GitHub Gist et également le site web lu- même GitHub.com. Même si ce sont les seules parties à entrer dans la compétition, GitHub explique que les vulnérabilités trouvées ailleurs « pourraient recevoir des récompenses pécuniaires à notre discrétion. »

Alors comment seront calculées les primes ? GitHub se basera sur les risques réels encourus et l'impact sur les utilisateurs pour les chiffrer. « Si vous trouvez une faille XSS uniquement exploitable sur Opera, qui représente moins de  %% de notre trafic, alors la récompense sera faible. Mais un XSS persistant qui fonctionne sur Chrome, qui compte pour plus de 6 %% de notre trafic, recevra en retour une plus grande récompense , explique GitHub en guise d'exemple concret.

La sécurité des données est une notion qui est de plus en plus récurrente. Après le concours Pwn2Own qui réunit les grandes enseignes de la technologie, il n'est pas surprenant de voir GitHub leur emboîter le pas. Même si les récompenses proposées sont encore loin d'atteindre les sommes records qui ont été versées à certains hackers durant l'évènement canadien, GitHub affiche là sa volonté de protéger du mieux que possible les données de ses utilisateurs.

Source : GitHub

Et vous ?

Qu'en pensez-vous ? Ces programmes sont-ils, selon vous, la meilleure réponse aux failles de sécurité qu'une embauche à plein temps d'un personnel qualifié ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Saverok
Expert éminent https://www.developpez.com
Le 03/02/2014 à 9:42

Qu'en pensez-vous ? Ces programmes sont-ils, selon vous, la meilleure réponse aux failles de sécurité qu'une embauche à plein temps d'un personnel qualifié ?
A mon avis, ces opérations de détection de failles ouvertes aux chercheurs et aux hackers sont de belles opérations mais elles complètent le travail quotidien des employés à plein temps
Car ces opérations sont publiques et que c'est aussi une grosse opération de com.
Si l'application est pleine de bugs et/ou de failles, l’opération se retournera contre l'éditeur avec une très mauvaise presse
l'idée est de jouer la transparence et si par chance, aucune faille n'est trouvée, c'est encore mieux
donc autant bien assurer ses arrières
2  0