Google est généralement généreux lorsqu’il s’agit de rémunérer les chercheurs en sécurité qui trouvent des bogues et des vulnérabilités dans ses produits. Après tout, il est préférable de dépenser cet argent pour atténuer les problèmes plutôt que de les corriger après un piratage ou une attaque. Aujourd’hui, Google étend son programme de récompense des vulnérabilités (VRP) à ses projets open-source. Comme annoncé aujourd’hui, les chercheurs peuvent maintenant soumettre les bugs et les vulnérabilités qu’ils trouvent et qui peuvent avoir un impact sur l’ensemble de l’écosystème open-source de Google et être récompensés.
Google a en effet lancé ce programme par le simple fait que les pirates considèrent que les logiciels open-source utilisés par les entreprises comme des vecteurs d’attaque. L’entreprise cite une étude qui a vu une augmentation de 650% des attaques visant les chaînes d’approvisionnement open-source en 2021 par rapport à 2020. Pour s’assurer que Google soit moins susceptible d’être touché, elle intègre ses projets open-source dans son PRV.
Les récompenses les plus élevées seront versés dans les projets les plus médiatisés et les plus sensibles. Les récompenses iront de 100 à 31 337 dollars, selon la gravité potentielle d’une attaque.
Si vous souhaitez aider Google, il faut avant tout prendre connaissance des règles que l’entreprise a publié sur le site Web Bug Hunters. On y retrouve des détails techniques sur les diverses vulnérabilités.
Le PRV de Google fait partie intégrante des efforts de sécurité de l’entreprise. Au fil des années, Google a augmenté l’enveloppe budgétaire consacrée à la rémunération des chercheurs. Google a par ailleurs versé un total de 8,7 millions de dollars au total en 2021. Le programme de lutte contre les bugs de Google existe depuis désormais 11 ans.