Google: recenser un bug rapportera 5000 dollars
Le géant de l'Internet estime qu'il faut récompenser les chercheurs qui vérifient les extensions développées par Google.
Google étend son programme de chasse aux bogues aux chercheurs en sécurité qui vérifient les applications Chrome et les extensions développées par l'entreprise. Dans le même temps, la firme de Mountain View va également augmenter les primes du Patch Reward Program lancé en octobre 2013 qui récompense les améliorations apportées au code Open Source de ses logiciels.
Dans le cadre du Vulnerability Reward Program démarré en novembre 2010, la société rétribue déjà des chercheurs indépendants qui débusquent des anomalies dans le code de ses applications, par exemple des failles CSS (cross-site scripting), ou quand ils identifient des problèmes d'injection SQL ou d'authentification.
Un grand nombre d'applications et d'extensions pour le navigateur Chrome sont produites par des développeurs tiers, mais Google en développe aussi beaucoup en interne. «Nous pensons que le développement d'extensions sécurisées pour Chrome est relativement facile, pour peu que notre cahier des charges en matière de sécurité soit respecté. Mais étant donné l'usage très répandu d'extensions comme Hangouts et Gmail, nous tenons à ce que les efforts menés pour maintenir leur niveau de sécurité soient récompensés en conséquence», ont déclaré dans un blog Eduardo Vela Nava et Michal Zalewski, tous deux membres de l'équipe de sécurité de Google.
Des primes allant jusqu'à 10'000 dollars
Par ailleurs, dans le cadre du Patch Reward Progam, Google va également augmenter les primes que l'entreprise distribue à ceux qui apportent des améliorations au code de certains programmes Open Source parmi les plus populaires. Jusque-là, la fourchette des primes se situait entre 500 à 3150 dollars environ. Désormais, toutes les soumissions seront récompensées, «y compris les plus simples, ou même celles dont le bénéficie peut être seulement spéculatif», ont ajoutés les deux chercheurs de l'équipe de sécurité de Google.
Ainsi, la firme de la Silicon Valley offrira 5000 dollars pour les correctifs dont la complexité est modérée et apportent des éléments de sécurité convaincants, et 10’000 dollars pour les améliorations complexes qui réparent de grosses vulnérabilités dans le code. «Nous nous réjouissons de la collaboration que nous entretenons actuellement avec la communauté de la sécurité au sens large, et nous allons continuer à investir dans ces programmes pour faire que l'Internet soit un endroit plus sûr pour tout le monde», ont-ils encore écrit.
www.LeMondeInformatique.fr
Kommentare
« Plus