Google élargit son portefeuille de programmes de récompenses
Google a réaffirmé son engagement envers l'open source et l'a-t-il publié un nouveau programme pour soutenir les chercheurs en sécurité et les chasseurs d'erreurs offrant des récompenses en espèces toute personne susceptible de découvrir des vulnérabilités dans les projets de logiciels open source qu'il dirige.
Le programme de récompenses annoncé est le dernier ajout à la famille des programmes de primes de vulnérabilité de Google et se concentre sur la récompense des chercheurs qui trouvent des bogues qui pourraient nuire à certains des projets open source les plus utilisés au monde.
Créé pour récompenser et remercier ceux qui contribuent à rendre le code de Google plus sûr, le programme VRP original était l'un des premiers au monde et approche maintenant de son 12e anniversaire. Au fil du temps, notre gamme VRP s'est élargie pour inclure des programmes axés sur Chrome, Android et d'autres domaines. Ensemble, ces programmes ont récompensé plus de 13 000 soumissions, avec un paiement total de plus de 38 millions de dollars.
Comme beaucoup le savent, Google est principalement responsable de nombreux grands projets open source, tel est l'exemple d'Android, de Golang, du framework d'applications Web basé sur TypeScript Angular et du système d'exploitation Fuchsia pour les appareils domestiques intelligents comme Nest.
Aujourd'hui, nous lançons le programme de récompense des vulnérabilités des logiciels open source (OSS VRP) de Google pour récompenser les découvertes de vulnérabilités dans les projets open source de Google. En tant que responsable de grands projets tels que Golang, Angular et Fuchsia, Google compte parmi les plus grands contributeurs et utilisateurs d'open source au monde. Avec l'ajout de l'OSS VRP de Google à notre famille de programmes Vulnerability Bounty (VRP), les chercheurs peuvent désormais être récompensés pour avoir trouvé des bogues susceptibles d'affecter l'ensemble de l'écosystème open source.
Les vulnérabilités sont un gros problème, a expliqué Google dans un article de blog. Dit qu'il y a eu une augmentation de 650 % des attaques ciblées à la chaîne d'approvisionnement des logiciels open source l'année dernière, ce qui a entraîné l'exploitation d'incidents majeurs tels que la vulnérabilité Log4Shell.
"La chasse aux bogues est un outil populaire non seulement pour améliorer la qualité des offres logicielles, mais aussi pour accroître la familiarité des développeurs tout en agissant comme une incitation à une interaction plus approfondie avec le code", a déclaré Holger Mueller de Constellation. Research Inc. "À cet égard, il est bon de voir que Google propose une autre recherche de bogues, intitulée Open Source Software Vulnerability Program. Tous les paramètres sont attractifs, les communautés de développeurs sont inconstantes, nous verrons donc comment sera la réponse et, plus important encore, quelles failles et quelles adoptions ultérieures des plates-formes sous-jacentes peuvent être obtenues.
Le programme OSS VRP annoncé aujourd'hui fait partie de cet engagement.
Pour sa part, Google encourage les chercheurs à examiner son code logiciel open source et à signaler toute vulnérabilité qu'ils découvrent Google a déclaré qu'il verserait des primes en fonction de la gravité de la vulnérabilité et de l'importance du projet, allant de 100 $ à 31,337 XNUMX $. Des primes plus importantes seront également versées à des "vulnérabilités inhabituelles ou particulièrement intéressantes", pour lesquelles Google encourage les chercheurs à faire preuve de créativité.
En plus des récompenses, les utilisateurs peuvent également recevoir une reconnaissance publique pour leurs découvertes s'ils le souhaitent. Pour ceux qui souhaitent faire don de leur récompense à une association caritative, Google a déclaré qu'il égalerait ces contributions à partir de sa propre pile d'argent.
Google a expliqué que les chercheurs devraient concentrer leurs efforts sur les versions les plus récentes des projets de logiciels open source qu'il dirige, qui peuvent être trouvés dans les référentiels publics sur la page GitHub de Google. La chasse aux bogues s'étend également aux dépendances tierces de ces projets.
Enfin Si vous souhaitez en savoir plus sur la note, vous pouvez consulter la déclaration émise par Google dans le lien suivant