Google Open Source Software Vulnerability Reward Program : un nouveau programme de récompense de découvertes de vulnérabilités

Par:
fredericmazue

lun, 12/09/2022 - 16:03

Google vient d'ouvrir un nouveau programme de récompenses pour la découvertes de vulnéraabilités : le programme Google Open Source Software Vulnerability Reward

Ce programme récompense les contributions des chercheurs en sécurité qui investissent leur temps et leurs efforts pour aider à sécuriser les logiciels open source publiés par Google (Google OSS). Grâce à ce programme, nous offrons des récompenses financières et une reconnaissance publique aux chercheurs qui nous révèlent des vulnérabilités dans Google OSS, souligne Mountain View.

Le programme couvre toutes les dernières versions de logiciels open source stockés dans les référentiels publics des organisations GitHub appartenant à Google et des référentiels sélectionnés hébergés sur d'autres plates-formes. Le programme couvre également les paramètres de configuration du référentiel (par exemple, les actions GitHub, les règles de contrôle d'accès, les configurations d'application GitHub).

Les vulnérabilités dans les dépendances tierces sont elles aussi dans le champ d'application de ce programme. En revanche, les vulnérabilités des services ou plates-formes tiers utilisés pour maintenir et créer Google OSS (par exemple, les systèmes de gestion de code source, les systèmes CI/CD, les gestionnaires de packages) ne sont pas couvertes par ce programme.

Dans le cadre de ce programme, Google préfère, avant tout, les soumissions soulignant les vulnérabilités affectant l'intégrité de la source ou de la construction qui pourraient entraîner une compromission de la chaîne d'approvisionnement. Les vulnérabilités de la chaîne d'approvisionnement incluent la possibilité de compromettre le code source de Google OSS et de créer des artefacts ou des packages distribués via des gestionnaires de packages aux utilisateurs. Cependant, tout problème de conception ou de mise en œuvre dans Google OSS qui entraîne une vulnérabilité du produit affectant considérablement la confidentialité ou l'intégrité des données utilisateur dans les versions logicielles utilisant Google OSS est également couvert par le programme.

Par ailleurs Google considère avoir cinq projets OSS particulièrement sensibles :

  1. Bazel
  2. Angular
  3. Golang
  4. Protocol buffers
  5. Fuchsia

Les récompenses pour les vulnérabilités trouvées dans ces projets sont nettement plus élevées que pour les projets des autres niveaux, assure Google.

Le montant des récompenses de ce programme s'étend de 500 dollars à 31337 dollars.

Site : bughunters.google.com