Google franchit une nouvelle étape dans sa croisade contre les failles zero-day.
Jusqu’alors, le groupe Internet rémunérait quiconque découvrait une vulnérabilité dans ses services Web ou son navigateur Chrome.
Ce programme englobe désormais une partie de l’écosystème open source.
Comme l’explique Michal Zalewski de la Google Security Team, « nous bénéficions tous de l’incroyable travail bénévole accompli par la communauté open source« .
Et de poursuivre : « C’est pourquoi nous continuons à nous demander comment allier ce modèle de développement à notre Vulnerability Reward Program, afin d’améliorer la sécurité des logiciels essentiels à la santé de l’ensemble d’Internet« .
Il ne s’agira pas de verser d’argent aux chercheurs qui résorbent des brèches dans les applications open source, mais plutôt de rétribuer les développeurs effectuant des changements dans du code afin d’en renforcer la sécurité.
Comme le note Silicon.fr, le programme se déroulera en deux étapes.
La première concernera les services d’infrastructure réseau (OpenSSH, BIND, ISC DHCP) et les outils de traitement d’images (libjpeg, libjpeg-turbo, libpng, giflib).
Elle inclura également les fondations de Google Chrome (Chromium, Blink), d’autres librairies (OpenSSL, zlib) et des composants critiques du noyau Linux (y compris KVM).
Durant la deuxième phase, le périmètre s’étendra aux serveurs Web (Apache httpd, lighttpd, nginx), aux services SMTP (Sendmail, Postfix, Exim), les outils de développement (GCC, binutils, llvm) et le Virtual private networking (OpenVPN).
Le modèle de rétribution est calqué à celui déjà en vigueur pour le programme de découvertes de failles : le montant des primes variera de 500 à 3133,70 dollars.
—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous des CMS open source ?
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…