Un nouveau bug bounty de Google cible les vulnérabilités des logiciels libres

Un nouveau bug bounty de Google cible les vulnérabilités des logiciels libres

Google a annoncé mardi 30 août le lancement d’un nouveau programme de bug bounty axé spécifiquement sur les logiciels open source. Les chasseurs de vulnérabilités peuvent gagner entre 100 et 31 000 dollars (soit autant d’euros) via ce nouveau programme, en fonction de la gravité de la découverte.

« Les montants les plus élevés iront également à la découverte de vulnérabilités inhabituelles ou particulièrement intéressantes, la créativité est donc encouragée », souligne Google dans son blog.

publicité

Des attaques s’appuyant sur des failles de logiciels open source

Ce nouveau programme s’attaque à un problème majeur dans la communauté du logiciel. Citant un rapport de la société Sonatype, Google note ainsi que les attaques visant des faiblesses de logiciels open source ont augmenté de 650 % d’une année sur l’autre en 2021. Même les vulnérabilités isolées, comme la grave vulnérabilité de Log4j découverte en décembre 2021, peuvent faire des ravages à grande échelle.

Le nouveau programme de Google encourage les chasseurs de bugs à fouiner dans les dernières versions des logiciels open source stockés dans des dépôts publics GitHub appartenant à Google (telles que Google, GoogleAPIs et GoogleCloudPlatform).

Il se concentre également sur les dépendances tierces de ces projets.

Réunion à la Maison blanche

Les premières récompenses seront attribuées aux vulnérabilités découvertes dans les projets les plus sensibles de Google, notamment Bazel, Angular, Golang, Protocol buffers et Fuchsia.

Google encourage également les chercheurs en sécurité à rechercher des problèmes susceptibles d’avoir le plus grand impact sur l’industrie logicielle, notamment les problèmes de conception à l’origine de vulnérabilités des produits ou des problèmes de sécurité comme les fuites d’informations d’identification.

Ce nouveau programme fait partie du plan plus large à 10 milliards de dollars que Google s’est engagé à consacrer à la cybersécurité aux Etats-Unis. Google a pris cet engagement l’année dernière à la suite d’une réunion à la Maison blanche, au cours de laquelle l’administration Biden a souligné que les vulnérabilités potentielles des logiciels open source constituaient un problème de sécurité nationale.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *