La chasse aux failles est ouverte chez GitHub,
avec des récompenses comprises entre 100 et 5000 dollars
GitHub a lancé le programme GitHub Bug Bounty pour « mieux s'engager avec les chercheurs en sécurité ». Pour chaque faille découverte, le chercheur recevra en retour une récompense comprise entre 100 et 000 dollars. Le programme ne s'intéresse qu'aux failles trouvées sur l'API GitHub, GitHub Gist et également le site web lu- même GitHub.com. Même si ce sont les seules parties à entrer dans la compétition, GitHub explique que les vulnérabilités trouvées ailleurs « pourraient recevoir des récompenses pécuniaires à notre discrétion. »
Alors comment seront calculées les primes ? GitHub se basera sur les risques réels encourus et l'impact sur les utilisateurs pour les chiffrer. « Si vous trouvez une faille XSS uniquement exploitable sur Opera, qui représente moins de %% de notre trafic, alors la récompense sera faible. Mais un XSS persistant qui fonctionne sur Chrome, qui compte pour plus de 6 %% de notre trafic, recevra en retour une plus grande récompense , explique GitHub en guise d'exemple concret.
La sécurité des données est une notion qui est de plus en plus récurrente. Après le concours Pwn2Own qui réunit les grandes enseignes de la technologie, il n'est pas surprenant de voir GitHub leur emboîter le pas. Même si les récompenses proposées sont encore loin d'atteindre les sommes records qui ont été versées à certains hackers durant l'évènement canadien, GitHub affiche là sa volonté de protéger du mieux que possible les données de ses utilisateurs.
Source : GitHub
Et vous ?
Qu'en pensez-vous ? Ces programmes sont-ils, selon vous, la meilleure réponse aux failles de sécurité qu'une embauche à plein temps d'un personnel qualifié ?
Partager