La firme de Mountain View est une adepte des Bug Bounty Programs. Que ce soit pour Chrome et ses applications Web, Google distribue des billets verts aux chercheurs en sécurité qui lui remontent des vulnérabilités sérieuses. Google a ainsi déboursé plus de 2 millions de dollars en trois ans.
Ce n'est manifestement pas assez et Google lance une nouvelle initiative en la matière pour rétribuer les chercheurs et développeurs qui contribuent via des correctifs à l'amélioration de la sécurité de projets open source.
Google est lui-même un grand consommateur de projets open source. Une telle initiative lui est donc également profitable même si le mot d'ordre officiel est d'améliorer la sécurité de " logiciels clés et critiques pour la santé de tout l'Internet ". Et non, Google n'est pas encore au stade où il se prend pour l'Internet...
Il s'agit pour le moment d'un test avant de voir la suite à donner. Parmi les projets concernés, OpenSSH, BIND, OpenSSL, libpng, des éléments utilisés dans le noyau Linux ou encore les propres fondations open source de Google Chrome.
Les récompenses vont de 500 $ à 3 133,7 $ voire plus pour les soumissions d'une grande complexité. Le cas échéant, une récompense pourra être divisée entre celui qui a soumis le patch et les mainteneurs du projet open source. C'est d'ailleurs d'abord à ces derniers que le patch devra être soumis avant de se tourner vers Google.
Plus tard, l'initiative devrait être étendue à d'autres logiciels dont des serveurs Web très utilisés à l'instar d'Apache, le logiciel de déploiement de réseau privé virtuel OpenVPN.
Les règles pour participer sont détaillées sur cette page.
