Google souhaite améliorer la sécurité de ses tâches open source et des dépendances tierces de ces projets en tirant parti des avantages des bugs qui y sont détectés.
« Selon la gravité de la vulnérabilité et l’importance du travail, les récompenses iront de 100 $ à 31 337 $. Les plus grandes quantités iront également à des vulnérabilités rares ou particulièrement intéressantes, donc la créativité est encouragée », ont décrit les Googleurs Francis Perron et Krzysztof Kotowicz.
Google utilise des récompenses pour bogues dans ses logiciels open source
Le programme de récompense des vulnérabilités des logiciels open source (OSS VRP) de Google couvre :
- Les dernières versions des applications logicielles open source enregistrées dans les référentiels publics de Organisations GitHub appartenant à Google et référentiels sélectionnés hébergés sur d’autres plates-formes
- Paramètres de configuration du référentiel (par exemple, actions GitHub, accès aux directives de contrôle, configurations d’application GitHub)
- Vulnérabilités dans des tiers- dépendances du parti (si elles peuvent être t truquées ou utilisées dans des projets open source de Google)
« Nous invitons principalement les soumissions mentionnant les vulnérabilités ayant un impact sur l’intégrité de la source ou de la construction qui pourraient conduire à une compromission de la chaîne d’approvisionnement. Les vulnérabilités de la chaîne d’approvisionnement consistent en la capacité de compromettre le code source de Google OSS et de créer des artefacts ou des plans distribués via des superviseurs de packages aux utilisateurs », note Google.
Ils souhaitent également surveillez les problèmes de création ou de mise en œuvre dans Google OSS qui déclenchent une vulnérabilité d’élément (par exemple, des problèmes de corruption de la mémoire dans les analyseurs de format de fichier ou les exécutions de protocole réseau, les défaillances des fonctions de nettoyage, les problèmes de parcours, etc. )
Enfin, ils souhaitent connaître les nombreux problèmes susceptibles d’affecter la sécurité des tâches cibles, tels que les qualifications sensibles stockées dans les tâches personnelles, les directives d’installation/d’utilisation de logiciels non sécurisées, fuites d’informations d’identification dans les sauvegardes stockées ouvertement, etc.
Les récompenses seront plus élevées pour les vulnérabilités signalées dans un certain nombre de tâches OSS phares de Google telles que :
- Bazel (un outil pour automatiser la construction et le test de logiciels a pplication)
- Angular (structure de l’application Web)
- Langage des programmes Go(lang)
- Protocol Buffers (format de données pour la sérialisation des informations structurées)
- Fuchsia OS
Avec le temps, d’autres projets seront contribués à ce niveau, indique Google, et note que les vulnérabilités entraînant une compromission de la chaîne d’approvisionnement pourraient être récompensées par une prime pouvant atteindre 31 337 $.
Les primes pour les bogues dans les tâches OSS de base seront beaucoup plus faibles, et il n’y a aucun avantage pour les bogues dans les projets OSS de faible priorité (par exemple, les travaux avec peu d’impact sur la communauté, pas de code exécutable, etc.).
Améliorer la sécurité de la chaîne d’approvisionnement
« L’ajout de ce tout nouveau programme répond à la réalité de plus en plus répandue des compromissions croissantes de la chaîne d’approvisionnement », Perron et Kotowicz ajoutée.
« En 2015, les attaques ciblant la chaîne d’approvisionnement open source ont augmenté de 650 % d’une année sur l’autre, y compris des événements phares comme Codecov et la vulnérabilité Log4j qui ont révélé le potentiel dommageable d’une seule vulnérabilité open source. L’OSS VRP de Google fait partie de notre engagement de 10 milliards de dollars pour améliorer la cybersécurité, y compris la sécurisation de la chaîne d’approvisionnement contre ces types d’attaques pour les utilisateurs de Google et les consommateurs open source du monde entier. »
Les chasseurs de bogues ambitieux sont encouragés à consulter les directives OSS VRP pour plus de détails.
Toute l’actualité en temps réel, est sur L’Entrepreneur
