Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

HackerOne héberge le programme Internet Bug Bounty (IBB)

septembre 2021 par Emmanuelle Lamandé

HackerOne dévoile la nouvelle version du programme Internet Bug Bounty (IBB). Créé en 2013 pour sécuriser les standards au cœur d’Internet, ce programme permet de regrouper les fonds récompensant les hackers qui signalent des vulnérabilités au sein des logiciels open source. Désormais dirigée et hébergée par HackerOne, cette initiative propose un nouveau modèle de financement commun, afin que davantage d’organisations à travers le monde puissent en tirer parti et sécuriser les logiciels open source intégrés au sein de leurs propres infrastructures numériques. Les partenaires qui accompagnent HackerOne dans cette initiative incluent Elastic, Facebook, Figma, GitHub, Shopify et TikTok.

Les logiciels open source sont au cœur de presque toutes les infrastructures numériques modernes. Une application type compte en moyenne 528 composants open source différents, et la majorité des vulnérabilités open source à haut risque découvertes en 2020 étaient dans le code depuis plus de deux ans. On constate par ailleurs que la plupart des organisations n’ont pas de contrôle direct sur les logiciels open source utilisés au sein de leur chaîne d’approvisionnement, pour corriger les failles de manière indépendante. Le programme IBB a déjà contribué à relever ces défis, avec plus de 1 000 failles découvertes dans des projets open source depuis son lancement en 2013, et 900 000 dollars de primes versées à près de 300 hackers.

Le modèle de financement du nouveau programme IBB a pour objectif d’encourager les partenaires, les développeurs et les hackers à sécuriser les projets d’open source. Le trois principales nouveautés du programme incluent :
- La mise en commun de mécanismes de défense issus de programmes de bug bounty existants. Les clients de HackerOne pourront tirer profit de l’IBB pour sécuriser les composants open source de leur propre chaîne d’approvisionnement en mettant en commun 1 à 10 % des dépenses de leur propre programme de bug bounty HackerOne avec d’autres entreprises exposées aux mêmes risques.
- Le service d’accompagnement tout au long du cycle de vie des vulnérabilités. La répartition des primes se fera entre les hackers et les développeurs selon une répartition 80/20. Comme les développeurs de logiciels open source se portent volontaires pour aider à corriger les vulnérabilités signalées, la répartition des primes garantit le paiement de toutes les parties prenantes sollicitées dans la prise en charge des vulnérabilités.
- La simplification du signalement des vulnérabilités - Seront mis à disposition un flux de soumission consolidé ainsi qu’une équipe d’assistance HackerOne dédiée afin d’améliorer l’expérience des hackers.

Le nouveau programme IBB vise à financer en partie la sécurisation des projets open source les plus utilisés sur Internet, notamment Curl, Django, Electron, Node.js, Ruby et bien d’autres. À terme, HackerOne prévoit d’ouvrir le programme à d’autres projets et à tout client de HackerOne qui souhaiterait contribuer à sécuriser les composants open source de sa chaîne d’approvisionnement logicielle.




Voir les articles précédents

    

Voir les articles suivants