Google a lancé un nouveau programme qui paiera des primes pour les bogues trouvés dans ses projets open source.
Le programme Open Source Software Vulnerability Rewards (s’ouvre dans un nouvel onglet) (OSS VRP) est le dernier ajout aux VRP existants du géant de la technologie offrant de l’argent pour les découvertes.
La société affirme que son premier VRP, destiné à ceux qui ont aidé à sécuriser le code de Google, a été l’un des premiers au monde. Déjà dans sa deuxième décennie d’activité, Google tient à souligner son engagement à soutenir les chercheurs en sécurité et les chasseurs de bogues.
Bogues Google OSS
Google affirme que les VRP couvrent divers codes Chrome et Android dans les opérations plus larges de l’entreprise, ce qui a entraîné le versement de plus de 38 millions de dollars à plus de 13 000 contributions, provenant d’un total de 84 pays.
De plus, Google s’est engagé à investir 10 milliards de dollars pour améliorer la cybersécurité de ses propres utilisateurs et des consommateurs de logiciels open source.
Google cite Codecov et Log4j comme deux des incidents les plus importants qui ont contribué à l’augmentation de 650 % d’une année sur l’autre des attaques ciblant la chaîne d’approvisionnement OSS.
Blog de sécurité de Google (s’ouvre dans un nouvel onglet) indique que l’OSS VRP se concentre sur « toutes les versions à jour » de l’OSS stockées dans les espaces d’organisation GitHub appartenant à Google, tels que GoogleAPI et GoogleCloudPlatform, bien que les « meilleures récompenses » soient réservées aux projets les plus sensibles, que Google définit être Bazel, Angular, Golang, les tampons de protocole et Fuchsia ; une liste qui devrait s’allonger après le déploiement initial du programme.
Les cibles pour tous les chasseurs comprennent : « les vulnérabilités qui conduisent à la compromission de la chaîne d’approvisionnement ; les problèmes de conception qui causent des vulnérabilités du produit ; [and] d’autres problèmes de sécurité tels que des informations d’identification sensibles ou divulguées, des mots de passe faibles ou des installations non sécurisées.
Les récompenses vont d’un maigre 100 $ à un montant substantiel de 31 337 $, selon la gravité de la vulnérabilité découverte, mais tous les bogues applicables trouvés qui ne se rapportent pas spécifiquement à ce VRP ne seront pas gaspillés, Google promettant de rediriger tout VRP (et cagnotte).