IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Mozilla a dépensé 40.000 dollars en un mois en récompenses, pour les bogues

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 547
    Points : 76 188
    Points
    76 188
    Par défaut Mozilla a dépensé 40.000 dollars en un mois en récompenses, pour les bogues
    Mozilla a dépensé 40.000 dollars en un mois en récompenses, pour les bogues et vulnérabilités qui lui ont été signalés

    Il y a un mois, Mozilla annonçait augmenter le montant des récompenses attribuées aux génies dénichant des bugs dans ses produits.

    L'annonce n'est visiblement pas tombée dans l'oreille d'un sourd, puisque depuis son entrée en vigueur, la Fondation a dépensé la coquette somme de 40.000 dollars en primes liées à son "Bug Bounty".

    Les vulnérabilités ainsi découvertes touchaient le navigateur Firefox ainsi que quelques applications.

    "Merci à toutes les personnes qui nous ont signalé des bogues, ce programme a été un véritable succès", déclare Mozilla.

    La somme la plus conséquente attribuée a été de 3000 dollars pour une faille "extraordinaire", et la majorité des récompenses était de 500 dollars. Les bugs concernés seront révélés aussitôt qu'ils seront fixés.

    Actuellement, Mozilla procède au tri des dernières contributions reçues, avant d'envoyer les paiements associés. De plus, certaines personnes dont les signalements n'ont pas été retenus, ont tout de même reçu en cadeau un t-shirt aux couleurs de la Fondation.

    Source : Le blog de Mozilla

  2. #2
    Membre averti
    Avatar de joreveur
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2010
    Messages
    293
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : Janvier 2010
    Messages : 293
    Points : 365
    Points
    365
    Par défaut
    Une façon de ne pas employer des gens à faire ce travail..

  3. #3
    Membre régulier
    Inscrit en
    Octobre 2010
    Messages
    62
    Détails du profil
    Informations forums :
    Inscription : Octobre 2010
    Messages : 62
    Points : 85
    Points
    85
    Par défaut
    Ou une façon d'amélioré un produit plus qu'il ne l'ai déjà, en faisant participer des personnes étrangères à la société, qui peuvent avoir une autre vision des choses, du coup ils n'ont pas les même contraintes, donc recherche d'une autre façon.

    Personnellement j'aime bien ce genre d'initiative, ça a un aspect fortement communautaire.

  4. #4
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2005
    Messages : 541
    Points : 1 898
    Points
    1 898
    Par défaut
    Citation Envoyé par Zack_r Voir le message
    Ou une façon d'amélioré un produit plus qu'il ne l'ai déjà, en faisant participer des personnes étrangères à la société, qui peuvent avoir une autre vision des choses, du coup ils n'ont pas les même contraintes, donc recherche d'une autre façon.

    Personnellement j'aime bien ce genre d'initiative, ça a un aspect fortement communautaire.
    L'idéal serait d'allier les 2 en fait. Non pas se reposer exclusivement sur "la communauté" mais aussi avoir des professionnels embauchés à tracer les bugs et failles, c'est d'ailleurs valable pour toutes sociétés. C'est peut-être déjà le cas mais en fait je pense pas qu'il y ai d'informations à ce sujet.
    If it's free, you are not the customer, you are the product.

  5. #5
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2006
    Messages : 636
    Points : 764
    Points
    764
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    Les bugs concernés seront révélés aussitôt qu'ils seront fixés.
    C'est pas digne d'un logiciel libre, ça...

  6. #6
    Membre chevronné Avatar de Hellwing
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2008
    Messages
    538
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Avril 2008
    Messages : 538
    Points : 2 089
    Points
    2 089
    Par défaut
    Citation Envoyé par ProgVal Voir le message
    C'est pas digne d'un logiciel libre, ça...
    Je serais curieux de connaître tes arguments pour oser affirmer une chose pareille. Personnellement je ne vois aucun rapport entre logiciel libre et ne pas divulguer les failles avant leur correction.

  7. #7
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Citation Envoyé par Neko
    L'idéal serait d'allier les 2 en fait. Non pas se reposer exclusivement sur "la communauté" mais aussi avoir des professionnels embauchés à tracer les bugs et failles, c'est d'ailleurs valable pour toutes sociétés. C'est peut-être déjà le cas mais en fait je pense pas qu'il y ai d'informations à ce sujet.
    C'est heureusement le cas, la majorité des bugs et failles de sécurité corrigés sont détectés par Mozilla même. Il suffit de regarder les patch notes qui indiquent toutes les vulnérabilités corrigées.

  8. #8
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2006
    Messages : 636
    Points : 764
    Points
    764
    Par défaut
    Citation Envoyé par Hellwing Voir le message
    Je serais curieux de connaître tes arguments pour oser affirmer une chose pareille. Personnellement je ne vois aucun rapport entre logiciel libre et ne pas divulguer les failles avant leur correction.
    Normalement, le bugtracker d'un logiciel libre devrait être entièrement public. Et n'importe qui devrait être au courant des failles, pour pouvoir tenter de soumettre un patch s'il le souhaite.

  9. #9
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Citation Envoyé par ProgVal
    Normalement, le bugtracker d'un logiciel libre devrait être entièrement public. Et n'importe qui devrait être au courant des failles, pour pouvoir tenter de soumettre un patch s'il le souhaite.
    Rien dans le libre n'oblige a rendre public le code ni aucune information sur les développements en cours (pas même la GPL). Tant que rien n'est distribué, on n'est pas tenu de fournir quoique ce soit.

    Bien sur généralement les projets libres ne s'en privent pas, mais pour une faille de sécurité, c'est pas sérieux de la révéler tant qu'elle n'est pas corrigée, particulièrement pour Mozilla qui serait bien évidement attaqué dans les heures qui suivent.

    Le bugtracker de Mozilla est bien ouvert au public. Mais si celui qui soumet un bug estime qu'il est sensible, il peut indiquer qu'il ne doit être visible qu'aux membres de confiance, tant qu'il n'est pas livré.
    Ne t'inquiète pas, ces bugs ont une attention toute particulière, et sont patchés immédiatement.
    Ils ne restent cachés que le temps de la prochaine sortie mineure(environ tous les mois), voire seulement le temps de faire les tests(2-3 jours) si des exploits sont connus.

  10. #10
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2006
    Messages : 636
    Points : 764
    Points
    764
    Par défaut
    Uther : c'est exact, rien ne l'oblige (ça serait un peu stupide d'obliger à être libre (un de mes sujets de dissertation de philo, d'ailleurs).
    Mais je vais quand même citer le Contrat Social de Debian, qui est une de( me)s références en la matière :
    We will not hide problems
    We will keep our entire bug report database open for public view at all times. Reports that people file online will promptly become visible to others.

  11. #11
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    C'est un choix, il n'en reste pas moins dangereux.

    Mozilla ne cache pas les bugs dangereux bien longtemps. Des que la correction est publiée, ils sont rendus visible. Ça me parait un très bon compromis entre la transparence totale qui peut clairement aboutir a des exploit zero day si les pirates sont réactifs, et de ne rien annoncer du tout, ce qui serait pour le coup très inquiétant quant au sérieux de la sécurité.

Discussions similaires

  1. Réponses: 0
    Dernier message: 25/04/2014, 22h20
  2. Réponses: 5
    Dernier message: 04/08/2011, 22h55
  3. Réponses: 6
    Dernier message: 04/02/2011, 15h23
  4. Réponses: 6
    Dernier message: 04/02/2011, 15h23
  5. Réponses: 9
    Dernier message: 07/12/2010, 16h42

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo