Google couvre ses projets open source dans le cadre de son programme Vulnerability Rewards (VRP). La société paiera des chercheurs en sécurité pour trouver des bogues et des vulnérabilités dans l’ensemble de son écosystème de logiciels open source (Google OSS). Cela inclut les logiciels”stockés dans les référentiels publics des organisations GitHub appartenant à Google”ainsi que les référentiels hébergés sur d’autres plates-formes. Les vulnérabilités dans les paramètres de configuration du référentiel sont également couvertes par ce programme de primes de bogues.
De plus, VRP couvrira les failles de sécurité dans les dépendances tierces de Google OSS. La société affirme que la sécurité de ses dépendances est un élément critique de la sécurité d’un progiciel. Il convient donc de les couvrir également. Mais les chercheurs en sécurité doivent d’abord signaler les vulnérabilités au fournisseur des dépendances tierces et s’assurer d’un correctif avant de porter l’affaire à Google pour récompense. Vous devez soumettre les détails du problème à Google dans les 30 jours suivant la publication d’un correctif par le fournisseur tiers. Vous devez également être en mesure de démontrer que la vulnérabilité tierce peut être exploitée dans Google OSS.
Dans un article détaillé sur son site Web Bug Hunters, Google déclare que la découverte de vulnérabilités dans des services tiers ou des plates-formes utilisées pour maintenir et développer Google OSS vous rendra désormais éligible à des récompenses dans le cadre du VRP.”Nous ne pouvons pas vous autoriser à effectuer des recherches de sécurité sur des actifs appartenant à d’autres utilisateurs et entreprises en leur nom”, déclare le fabricant d’Android.
En ce qui concerne les vulnérabilités éligibles, Google paiera des chercheurs pour trouver des problèmes. tels que les compromis de la chaîne d’approvisionnement, les vulnérabilités des produits et d’autres bogues de sécurité dans son logiciel open source. Selon Android Police, qui a le premier signalé cette extension du VRP de Google, les chaînes d’approvisionnement open source sont devenues une cible majeure pour les pirates à utiliser comme fournisseurs d’attaque. Ces attaques ont connu une augmentation annuelle de 650 % en 2021. Couvrir les projets open source sous VRP pourrait grandement contribuer à garantir la sécurité des logiciels Google.
La découverte d’un bogue dans les logiciels open source de Google peut vous rapporter de lourdes récompenses
Comme d’habitude, Google a plusieurs niveaux de récompense avec des paiements variables. Les vulnérabilités découvertes dans les projets OSS phares, qui incluent Bazel, Angular, Golan, les tampons de protocole et Fuchsia pourraient vous rapporter des récompenses de plus de 31 000 $. Le montant de la récompense s’élève à 13 337 $ pour les projets OSS standard, tandis que la société ne précise pas le montant pour les projets OSS de faible priorité. Le montant de la récompense dépend également du type de vulnérabilité. Les compromis de la chaîne d’approvisionnement vous rapportent plus que les vulnérabilités des produits et autres problèmes de sécurité.
Si vous êtes un chercheur en sécurité, vous pouvez consulter le site Web Bug Hunters pour plus de détails. Vous y trouverez toutes les informations techniques sur les niveaux de projet, les vulnérabilités éligibles, les rapports de bogues, etc.