Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Maison
Sep 22, 2023
Google est ouvert
Par Mitchell Clark Google a introduit un nouveau programme de récompenses de vulnérabilité pour
Par Mitchell Clark
Google a introduit un nouveau programme de récompenses de vulnérabilité pour rémunérer les chercheurs qui trouvent des failles de sécurité dans son logiciel open source ou dans les éléments de base sur lesquels son logiciel est construit. Il paiera entre 101 $ et 31 337 $ pour des informations sur les bogues dans des projets comme Angular, GoLang et Fuchsia ou pour les vulnérabilités dans les dépendances tierces incluses dans les bases de code de ces projets.
Bien qu'il soit important pour Google de corriger les bogues dans ses propres projets (et dans le logiciel qu'il utilise pour suivre les modifications apportées à son code, que le programme couvre également), la partie la plus intéressante concerne peut-être les dépendances tierces. Les programmeurs utilisent souvent le code de projets open source afin de ne pas avoir à réinventer en permanence la même roue. Mais comme les développeurs importent souvent directement ce code, ainsi que toutes ses mises à jour, cela introduit la possibilité d'attaques de la chaîne d'approvisionnement. C'est alors que les pirates ne ciblent pas le code directement contrôlé par Google lui-même, mais s'attaquent plutôt à ces dépendances tierces.
Les bibliothèques open source peuvent parfois être utilisées comme cheval de Troie dans des projets plus importants
Comme l'a montré SolarWinds, ce type d'attaque ne se limite pas aux projets open source. Mais au cours des dernières années, nous avons vu plusieurs histoires où de grandes entreprises ont vu leur sécurité mise en danger à cause de dépendances. Il existe des moyens d'atténuer ce type de vecteur d'attaque - Google lui-même a commencé à vérifier et à distribuer un sous-ensemble de programmes open source populaires, mais il est presque impossible de vérifier tout le code utilisé par un projet. Inciter la communauté à vérifier les dépendances et le code propriétaire aide Google à élargir son réseau.
Selon les règles de Google, les paiements du programme Open Source Software Vulnerability Rewards dépendront de la gravité du bogue, ainsi que de l'importance du projet dans lequel il a été trouvé (Fuchsia et autres sont considérés comme des projets "phares" et ont donc les plus gros paiements). Il existe également des règles supplémentaires concernant les primes pour les vulnérabilités de la chaîne d'approvisionnement - les chercheurs devront d'abord informer celui qui est réellement en charge du projet tiers avant de le dire à Google. Ils doivent également prouver que le problème affecte le projet de Google ; s'il y a un bogue dans une partie de la bibliothèque que l'entreprise n'utilise pas, elle ne sera pas éligible au programme.
"Les chercheurs peuvent désormais être récompensés pour avoir trouvé des bogues susceptibles d'avoir un impact sur l'ensemble de l'écosystème open source."
Google dit également qu'il ne veut pas que les gens fouillent dans les services ou plates-formes tiers qu'il utilise pour ses projets open source. Si vous rencontrez un problème avec la configuration de son référentiel GitHub, c'est bien ; si vous rencontrez un problème avec le système de connexion de GitHub, cela n'est pas couvert. (Google dit qu'il ne peut pas autoriser les gens à "effectuer des recherches de sécurité sur des actifs appartenant à d'autres utilisateurs et entreprises en leur nom".)
Pour les chercheurs qui ne sont pas motivés par l'argent, Google propose de faire don de leurs récompenses à un organisme de bienfaisance choisi par le chercheur - la société dit même qu'elle doublera ces dons.
De toute évidence, ce n'est pas la première fois que Google craque pour une prime de bogue – il a eu une forme de programme de récompense de vulnérabilité pendant plus d'une décennie. Mais il est bon de voir que l'entreprise agit sur un problème pour lequel elle a sonné l'alarme. Plus tôt cette année, à la suite de l'exploit Log4Shell trouvé dans la populaire bibliothèque open-source Log4j, Google a déclaré que le gouvernement américain devait être plus impliqué dans la recherche et le traitement des problèmes de sécurité dans les projets open-source critiques. Depuis lors, comme le note BleepingComputer, la société a temporairement augmenté les paiements pour les personnes qui trouvent des bogues dans certains projets open source comme Kubernetes et le noyau Linux.
/ Inscrivez-vous à Verge Deals pour recevoir quotidiennement des offres sur les produits que nous avons testés.