Sécurité IT : Google va rémunérer la communauté open source

Google franchit une nouvelle étape dans sa croisade contre les failles zero-day.

Jusqu’alors, le groupe Internet rémunérait quiconque découvrait une vulnérabilité dans ses services Web ou son navigateur Chrome.

Ce programme englobe désormais une partie de l’écosystème open source.

Comme l’explique Michal Zalewski de la Google Security Team, « nous bénéficions tous de l’incroyable travail bénévole accompli par la communauté open source« .

Et de poursuivre : « C’est pourquoi nous continuons à nous demander comment allier ce modèle de développement à notre Vulnerability Reward Program, afin d’améliorer la sécurité des logiciels essentiels à la santé de l’ensemble d’Internet« .

Il ne s’agira pas de verser d’argent aux chercheurs qui résorbent des brèches dans les applications open source, mais plutôt de rétribuer les développeurs effectuant des changements dans du code afin d’en renforcer la sécurité.

Comme le note Silicon.fr, le programme se déroulera en deux étapes.

La première concernera les services d’infrastructure réseau (OpenSSH, BIND, ISC DHCP) et les outils de traitement d’images (libjpeg, libjpeg-turbo, libpng, giflib).

Elle inclura également les fondations de Google Chrome (Chromium, Blink), d’autres librairies (OpenSSL, zlib) et des composants critiques du noyau Linux (y compris KVM).

Durant la deuxième phase, le périmètre s’étendra aux serveurs Web (Apache httpd, lighttpd, nginx), aux services SMTP (Sendmail, Postfix, Exim), les outils de développement (GCC, binutils, llvm) et le Virtual private networking (OpenVPN).

Le modèle de rétribution est calqué à celui déjà en vigueur pour le programme de découvertes de failles : le montant des primes variera de 500 à 3133,70 dollars.

—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous des CMS open source ?