Le code open source est sous les projecteurs de la sécurité. Les attaques contre ce type de logiciel (généralement sous la forme d’une chaîne d’approvisionnement, c’est-à-dire un logiciel qui utilise d’autres logiciels libres ou non libres dans le cadre de ses fonctionnalités) ont augmenté de 650 % en 2021. Et non, les milliers d’yeux qui sont censés être capables de voir le code ne semblent pas le vérifier. Du moins, pas gratuitement. En 2017, l’Europe a lancé le projet EU-FOSSA (EU-Free and Open Source Software Auditing) pour rémunérer toute personne qui auditerait des logiciels libres largement utilisés (VLC, Keepass…). Et maintenant, Google va également payer pour encourager les logiciels libres (qu’ils utilisent) à être audités.

Elle paiera de 100 à 31 337 dollars pour les bugs découverts dans les logiciels libres stockés dans les référentiels publics de Google. Bien entendu, elle s’appuie sur des projets dont Google est propriétaire ou dont la société fait un usage intensif. L’accent est mis sur Bazel (compilateur et testeur), le protocole Buffer, Angular, Golang, Fuchsia (un système d’exploitation simple pour les mobiles) auxquels ils accorderont une attention particulière. Mais les tiers dont dépendent ces logiciels entrent également dans l’équation.

L’initiative OSS VRP (Open Source Software Vulnerability Reward Program) fait partie des 10 millions de dollars que Google s’est engagé à dépenser l’année dernière après avoir rencontré à la Maison Blanche l’administration Biden, qui a fait remarquer que les bugs des logiciels libres étaient déjà une préoccupation nationale.

Plus d’information:
https://bughunters.google.com/about/rules/6521337925468160/google-open-source-software-vulnerability-reward-program-rules