{"id":341891,"date":"2022-08-31T15:37:25","date_gmt":"2022-08-31T17:37:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/google-lance-une-nouvelle-prime-de-bogue-open-source-pour-lutter-contre-les-attaques-de-la-chaine-dapprovisionnement\/"},"modified":"2022-08-31T15:37:26","modified_gmt":"2022-08-31T17:37:26","slug":"google-lance-une-nouvelle-prime-de-bogue-open-source-pour-lutter-contre-les-attaques-de-la-chaine-dapprovisionnement","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/google-lance-une-nouvelle-prime-de-bogue-open-source-pour-lutter-contre-les-attaques-de-la-chaine-dapprovisionnement\/","title":{"rendered":"Google lance une nouvelle prime de bogue open source pour lutter contre les attaques de la cha\u00eene d&#8217;approvisionnement"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Google a lanc\u00e9 lundi un nouveau programme de primes de bogues pour ses projets open source, offrant des paiements allant de 100\u00a0$ \u00e0 31\u00a0337\u00a0$ (une r\u00e9f\u00e9rence \u00e0 <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Leet\" target=\"_blank\">eleet ou leet<\/a>) pour prot\u00e9ger l&#8217;\u00e9cosyst\u00e8me contre les attaques de la cha\u00eene d&#8217;approvisionnement.<\/p>\n<p>Appel\u00e9e Open Source Software Vulnerability Rewards Program (OSS VRP), l&#8217;offre est l&#8217;un des premiers programmes de vuln\u00e9rabilit\u00e9 sp\u00e9cifiques \u00e0 l&#8217;open source.<\/p>\n<p>Le g\u00e9ant de la technologie \u00e9tant le mainteneur de projets majeurs tels que Angular, Bazel, Golang, Protocol Buffers et Fuchsia, le programme vise \u00e0 r\u00e9compenser les d\u00e9couvertes de vuln\u00e9rabilit\u00e9s qui pourraient autrement avoir un impact significatif sur le paysage open source plus large. <\/p>\n<p>D&#8217;autres projets g\u00e9r\u00e9s par Google et h\u00e9berg\u00e9s sur des r\u00e9f\u00e9rentiels publics tels que GitHub ainsi que les d\u00e9pendances tierces incluses dans ces projets sont \u00e9galement \u00e9ligibles.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/bughunters.google.com\/about\/rules\/6521337925468160\/google-open-source-software-vulnerability-reward-program-rules\" target=\"_blank\">Soumissions<\/a> des chasseurs de bogues doivent r\u00e9pondre aux crit\u00e8res suivants &#8211;<\/p>\n<ul>\n<li>Vuln\u00e9rabilit\u00e9s qui conduisent \u00e0 compromettre la cha\u00eene d&#8217;approvisionnement<\/li>\n<li>Probl\u00e8mes de conception \u00e0 l&#8217;origine des vuln\u00e9rabilit\u00e9s du produit<\/li>\n<li>Autres probl\u00e8mes de s\u00e9curit\u00e9 tels que des informations d&#8217;identification sensibles ou divulgu\u00e9es, des mots de passe faibles ou des installations non s\u00e9curis\u00e9es<\/li>\n<\/ul>\n<p>Renforcer les composants open source, en particulier les biblioth\u00e8ques tierces qui agissent comme \u00e9l\u00e9ment de base de nombreux logiciels, est devenu une priorit\u00e9 absolue \u00e0 la suite de l&#8217;escalade constante des attaques de la cha\u00eene d&#8217;approvisionnement ciblant Maven, NPM, PyPI et RubyGems.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"Attaques de la cha\u00eene d'approvisionnement\" border=\"0\" data-original-height=\"509\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1661967445_950_Google-lance-une-nouvelle-prime-de-bogue-open-source-pour.jpg\" title=\"Attaques de la cha\u00eene d'approvisionnement\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Cr\u00e9dit image : Sonatype<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>La vuln\u00e9rabilit\u00e9 Log4Shell dans la biblioth\u00e8que de journalisation Log4j Java qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e en d\u00e9cembre 2021 en est un excellent exemple, causant des ravages g\u00e9n\u00e9ralis\u00e9s et devenant un appel au clairon pour am\u00e9liorer l&#8217;\u00e9tat de la cha\u00eene d&#8217;approvisionnement logicielle.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;L&#8217;ann\u00e9e derni\u00e8re a vu une <a rel=\"nofollow noopener\" href=\"https:\/\/www.sonatype.com\/resources\/state-of-the-software-supply-chain-2021\" target=\"_blank\">Augmentation de 650\u00a0% d&#8217;une ann\u00e9e sur l&#8217;autre<\/a> dans des attaques ciblant la cha\u00eene d&#8217;approvisionnement open source, y compris des incidents phares comme Codecov et la vuln\u00e9rabilit\u00e9 Log4j qui ont montr\u00e9 le potentiel destructeur d&#8217;une seule vuln\u00e9rabilit\u00e9 open source \u00bb, Francis Perron et Krzysztof Kotowicz de Google <a rel=\"nofollow noopener\" href=\"https:\/\/security.googleblog.com\/2023\/08\/Announcing-Googles-Open-Source-Software-Vulnerability-Rewards-Program%20.html\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>Cette d\u00e9cision fait suite \u00e0 un programme de r\u00e9compenses similaire que Google a institu\u00e9 en novembre dernier pour d\u00e9couvrir l&#8217;escalade des privil\u00e8ges et les exploits d&#8217;\u00e9vasion de Kubernetes dans le noyau Linux.  Il a depuis <a rel=\"nofollow noopener\" href=\"https:\/\/security.googleblog.com\/2022\/02\/roses-are-red-violets-are-blue-giving.html\" target=\"_blank\">augment\u00e9 le montant maximum<\/a> de 50 337 $ \u00e0 91 337 $ jusqu&#8217;\u00e0 la fin de 2022.<\/p>\n<p>Plus t\u00f4t en mai, le g\u00e9ant de l&#8217;Internet a annonc\u00e9 la cr\u00e9ation d&#8217;une nouvelle &#8220;\u00e9quipe de maintenance Open Source&#8221; pour se concentrer sur le renforcement de la s\u00e9curit\u00e9 des projets open source critiques.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/google-launches-new-open-source-bug.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Google a lanc\u00e9 lundi un nouveau programme de primes de bogues pour ses projets open source, offrant des paiements allant de 100\u00a0$ \u00e0 31\u00a0337\u00a0$ (une r\u00e9f\u00e9rence \u00e0 eleet ou leet) pour prot\u00e9ger l&#8217;\u00e9cosyst\u00e8me contre les attaques de la cha\u00eene d&#8217;approvisionnement. Appel\u00e9e Open Source Software Vulnerability Rewards Program (OSS VRP), l&#8217;offre est l&#8217;un des premiers programmes [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":341892,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8074,6813,2953,4168,841,4158,4165,4161,3242,7755,4157,4159,4171,4170,1647,65,4167,6940,4160,197,4163,4162,14531,185,6757,4172,4169,11137,196,4166,4164],"class_list":["post-341891","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaques","tag-bogue","tag-chaine","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dapprovisionnement","tag-google","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lance","tag-les","tag-logiciel-malveillant-de-ransomware","tag-lutter","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-open","tag-pour","tag-prime","tag-securite-informatique","tag-securite-internet","tag-source","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/341891","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=341891"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/341891\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/341892"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=341891"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=341891"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=341891"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}