Projets open source : Google offre d'importantes primes pour les mises à jour de sécurité significatives

Le géant de l'Internet a annoncé qu'il lançait un programme de primes visant à stimuler, pour des projets open source-clés, la création de mises à jour de sécurité allant au-delà des simples corrections de bugs connus.

Google annonce sur son blog Google Online Security Blog que les mises à jour qui l'intéressent sont, par exemple, l'ajout de la séparation de privilèges ou encore l'activation de la distribution aléatoire de l'espace d'adressage (Adress Space Layout Randomization – ASLR). Les projets suivants sont concernés :

• Les services d'infrastructure réseau essentiels OpenSSH, BIND, ISC DHCP,
• Les bibliothèques de traitement d'image essentielles libjpeg, libjpeg-turbo, libpng, giflib,
• Les fondements open source de Google Chrome : Chromium et Blink,
• Les bibliothèques fortement utilisées OpenSSL et zlib,
• Des composants fréquemment utilisés appartenant au noyau Linux (parmi lesquels KVM) et dont la sécurité est cruciale.

Google prévoit d'étendre le programme à :

• Des serveurs web très utilisés : Apache httpd, lighttpd, nginx,
• Des services SMTP populaires : Sendmail, Postfix, Exim,
• Des améliorations en matière de sécurité de la chaîne de compilation pour GNU Compiler Collection (GCC), GNU Binutils et LLVM,
• Le réseau privé virtuel OpenVPN.

La firme de Mountain View invite les développeurs intéressés par le programme de primes à consulter le règlement et
à soumettre leurs mises à jour de sécurité aux personnes chargés de chaque projet. Si la mise à jour est acceptée et intégrée dans le dépôt, le développeur devra alors soumettre sa candidature en écrivant à security-patches@google.com. Google jugera ensuite de l'intérêt de la contribution et, s'il l'estime significative, il pourra offrir une prime allant de 500 à plus de 3000 dollars.

Étant donné que Google bâtit des infrastructures sur ces solutions, on ne doute pas qu'il puisse bénéficier de ces améliorations en retour.