Google étend les primes de bogue à ses projets open source

Google prévoit de verser des récompenses en espèces pour les informations sur les vulnérabilités découvertes dans l’un de ses projets open source dans le cadre d’un effort continu pour améliorer la sécurité du code open source.

Le nouveau programme Open Source Software Vulnerability Rewards (OSS VRP), qui étend le programme existant de Google Vulnerability Rewards, a été annoncé dans un article de blog publié aujourd’hui.

Google versera aux chercheurs jusqu’à 31 337 dollars pour obtenir des informations sur les vulnérabilités des projets de logiciels open source – en particulier ceux gérés par Google – qui ont un impact sur les logiciels et les services de l’entreprise. L’objectif de Google est de sécuriser sa propre chaîne d’approvisionnement en logiciels, mais comme de nombreux développeurs non Google utilisent les logiciels open source de l’entreprise, tels que le langage de programmation Go et le framework Web angulaire, l’initiative promet également de contribuer à sécuriser l’écosystème open source plus large.

Dans un premier temps, Google se concentrera sur les projets les plus utilisés et les plus critiques, explique Francis Perron, responsable du programme technique de sécurité open source chez Google.

“Nous voulons offrir une expérience de chasse aux bogues de haute qualité, nous avons donc sélectionné des projets qui avaient suffisamment de maturité dans leur réponse et leurs processus pour tester ce programme”, dit-il. “L’élargissement de la portée se produira une fois que nous aurons compilé suffisamment de données en interne et que nous nous assurerons que nous pouvons évoluer sans nuire aux projets et aux chercheurs.”

Défis de sécurité de la chaîne d’approvisionnement

La sécurisation de la chaîne d’approvisionnement en logiciels est devenue un effort majeur des entreprises technologiques et des décideurs. En janvier, l’administration Biden a rencontré des entreprises technologiques et des organisations open source pour trouver des moyens de promouvoir un codage sécurisé, de trouver plus de vulnérabilités et d’accélérer la correction des projets open source.

L’année dernière, Google s’est engagé à dépenser 10 milliards de dollars sur cinq ans, en soutenant les efforts d’OpenSSF, en ajoutant un groupe consultatif sur la cybersécurité et en renforçant son initiative Invisible Security zero trust.

“Les gouvernements et les entreprises sont à un tournant dans la lutte contre la cybersécurité”, a déclaré Kent Walker, président des affaires mondiales de Google et de sa société mère Alphabet, dans l’annonce en 2021 de l’engagement de 10 milliards de dollars de l’entreprise. “Les cyberattaques mettent de plus en plus en danger des données précieuses et des infrastructures critiques. Bien que nous saluons l’augmentation des mesures visant à renforcer la cybersécurité, les gouvernements et les entreprises sont tous deux confrontés à des défis majeurs.”

Au cours de la dernière décennie, Google a versé plus de 38 millions de dollars en récompenses aux chercheurs qui ont soumis 13 000 vulnérabilités à l’entreprise, dans le cadre de son programme Vulnerability Rewards.

Google a déjà offert des primes pour les bogues de son navigateur Chrome et du système d’exploitation mobile Android, dont le code de base est géré comme des projets open source. La société a versé 2,9 millions de dollars à 119 chercheurs pour leurs rapports sur les vulnérabilités d’Android, la récompense la plus élevée atteignant 157 000 dollars. De même, la société a payé 3,3 millions de dollars à 115 chercheurs pour avoir trouvé des bogues dans Chrome en 2021.

Payer pour les découvertes de bogues “Eleet”

Avec son programme Open-Source Software Vulnerability Rewards (OSS VRP), Google crée un cadre standard pour récompenser les chercheurs qui trouvent des problèmes dans les projets de logiciels open source gérés par l’entreprise.

Google autorisera les soumissions pour “[a]Toutes les versions à jour des logiciels open source (y compris les paramètres de référentiel) stockées dans les référentiels publics des organisations GitHub appartenant à Google”, a déclaré la société dans son article de blog. , y compris le langage de programmation Go, le framework Web Angular et son système d’exploitation naissant pour les appareils connectés, Fuchsia.

La société demande actuellement des soumissions de vulnérabilités qui affectent la chaîne d’approvisionnement, des problèmes de conception qui pourraient entraîner des vulnérabilités dans les produits de Google et des faiblesses de sécurité telles que des informations d’identification compromises, des mots de passe faibles ou des configurations d’installation non sécurisées. Dans le cadre de sa concentration sur la chaîne d’approvisionnement, la société récompensera les chercheurs qui soumettent des vulnérabilités à des projets open source tiers dont dépend le logiciel de Google.

“Ce programme proposé se concentre sur les projets open source produits par Google, et la courte liste de projets phares répertoriés comprend des projets également pilotés par Google”, déclare Perron de Google. “Les règles incluent également le niveau “Standard”, qui intègre une grande quantité de projets.”

La société prévoit de payer les chercheurs entre 100 et 31 337 dollars – un chiffre spécial car il énonce « eleet », ou élite, en langage hacker – les paiements les plus élevés allant aux vulnérabilités les plus graves ou les plus créatives.

Avec les programmes de primes supplémentaires, certaines récompenses de vulnérabilités peuvent se chevaucher avec d’autres programmes. Google s’est engagé à travailler avec les chercheurs pour soumettre leurs rapports de vulnérabilité aux bons programmes afin de maximiser leur paiement, a déclaré la société.

Leave a Comment