Google élargit son programme de primes aux bogues pour couvrir GitHub et d’autres projets en code source libre

Google ajoute à son programme de primes qui paie pour la découverte de vulnérabilités d’applications.

Mardi, la société a lancé le programme Open Source Software Vulnerability Rewards (OSS VRP) pour récompenser les découvertes de bogues dans les projets à code source libre de Google.

Cela couvre toutes les versions à jour des logiciels à code source libre (y compris les paramètres de configuration des référentiels tels que GitHub Actions) stockées dans les référentiels publics des organisations GitHub appartenant à Google (telles que Google, GoogleAPIs et Google Cloud Platform, ainsi que les projets dont Google s’occupe, comme le langage de programmation Go Golang, la plate-forme de développeurs Web Angular et le système d’exploitation Fuchsia.

« L’ajout de ce nouveau programme répond à la réalité de plus en plus répandue des attaques croissantes de la chaîne d’approvisionnement », a déclaré Google. « L’année dernière a connu une augmentation de 650 % par rapport à la précédente des attaques ciblant la chaîne d’approvisionnement en code source libre, y compris des incidents phares comme Codecov et la vulnérabilité Log4j qui ont montré le potentiel destructeur d’une seule vulnérabilité.

« Le VRP OSS de Google fait partie de notre engagement de 10 milliards de dollars pour améliorer la cybersécurité, y compris la sécurisation de la chaîne d’approvisionnement contre ces types d’attaques pour les utilisateurs de Google et les consommateurs de code source ouvert du monde entier. »

Le programme global comprend des récompenses pour la recherche de vulnérabilités dans les produits Google tels que Chrome, Android, les téléphones intelligents Pixel, la gamme de produits pour la maison intelligente Google Nest, les montres connectées Fitbit, certaines applications de la boutique Google Play et d’autres domaines. Au cours des 12 dernières années, ce programme a récompensé plus de 13 000 soumissions, avec plus de 38 millions de dollars américains versés.

Le nouveau programme se concentre non seulement sur les projets en code source libre de Google, mais également sur les dépendances tierces de ces projets (avec notification préalable à la dépendance concernée requise avant la soumission au VRP OSS de Google).

Les premiers prix iront aux vulnérabilités trouvées dans les projets les plus sensibles : Bazel , Angular, Golang, Protocol buffers et Fuchsia. Après le déploiement initial, cette liste sera étendue.

Le programme recherche :

  • Les vulnérabilités qui conduisent à compromettre la chaîne d’approvisionnement.
  • Les problèmes de conception qui causent des vulnérabilités du produit.
  • D’autres problèmes de sécurité tels que des informations d’identification sensibles ou divulguées, des mots de passe faibles ou des installations non sécurisées.

Selon la gravité de la vulnérabilité et l’importance du projet, les récompenses iront de 100 à 31 337 dollars. Les montants les plus importants iront également à des vulnérabilités inhabituelles ou particulièrement intéressantes, la créativité est donc encouragée.

Voir les règles du programme (en anglais) pour plus d’informations.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

Balado Hashtag Tendances, 4 janvier 2024 — Une app Copilot, des iPhones compromis, Google et les applications Android et Adobe n’acquiert pas Figma

Cette semaine : Copilot sur Android et iOS, une attaque de porte dérobée de milliers d’iPhone, Google paie l’amende et assouplit les règles sur les applications Android et Adobe abandonne son projet d’acquérir Figma.

Google conclut un accord avec le gouvernement du Canada sur le projet de loi C-18

Après des mois de résistance et de rencontres, Google a finalement conclu un accord avec le gouvernement canadien concernant la promulgation du projet de loi C-18, qui devrait entrer en vigueur dans environ deux semaines.

Balado Hashtag Tendances, 30 novembre 2023 — Purge des comptes Google, Pika 1.0, une centrale géothermique pour Google et les effets néfastes des visioconférences

Cette semaine : Google supprime les comptes inactifs, Pika utilise l’IA pour générer des vidéos, Google inaugure une centrale électrique géothermique et les visioconférences comme cause de fatigue.

Partenariat élargi entre CGI et Google pour stimuler l’innovation liée à l’utilisation responsable de l’IA générative

CGI annonce cette semaine l'expansion de son partenariat avec Google pour stimuler l'innovation quant à l'utilisation responsable des technologies issues de l'intelligence artificielle (IA). Le but de ce partenariat est d’aider les clients à accélérer le rendement de leurs investissements dans de nouveaux cas d'utilisation d'IA générative propres à leur secteur d'activité.

Balado Hashtag Tendances, 2 novembre 2023 — OpenAI Preparedness, Google et Anthropic, débâcle de X et faillite de WeWork

Cette semaine : OpenAI se protège contre l’IA, Google investit dans Anthropic, X aurait perdu plus de la moitié de sa valeur et WeWork en faillite.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.