Google a récemment annoncé des mises à jour importantes de son programme de récompense des vulnérabilités pour le système d'exploitation et les appareils Android. Google utilisera désormais de nouveaux critères d'évaluation pour les rapports de vulnérabilité, ce qui garantira un meilleur impact sur la sécurité.
Mise à jour des règles de récompense des vulnérabilités pour Android et les appareils Google
Selon un récent billet de Sarah Jacobus, de l'équipe Vulnerability Rewards de Google, le géant de la technologie apporte des mises à jour à son programme de récompense des vulnérabilités couvrant le système d'exploitation Android et les appareils Android.
Plus précisément, les dernières mises à jour portent sur la façon dont l'entreprise traite les différents rapports de vulnérabilité. Par exemple, l'entreprise classera désormais les rapports de bogues comme étant de qualité élevée, moyenne ou faible, en tenant compte des détails donnés dans les rapports. Ce nouveau paramètre encouragera les chercheurs en sécurité à soumettre des rapports détaillés, ce qui permettra à Google de mieux remédier aux problèmes de sécurité.
En ce qui concerne les exigences de Google pour un rapport de vulnérabilité parfait, le billet mentionne les paramètres suivants.
- Détails sur la vulnérabilité avec le nom et la version du ou des appareils concernés.
- Analyse complète des causes profondes de la vulnérabilité avec le code source respectif qui nécessite le correctif.
- Une preuve de concept claire dans des formats compréhensibles (vidéos, rapports de débogage, etc.).
- Guide étape par étape permettant aux développeurs de reproduire la vulnérabilité.
- Informations sur le niveau d'accès ou d'exécution obtenu après avoir exploité la vulnérabilité.
Bien que ces paramètres puissent sembler décourageants, Google a annoncé un autre avantage pour motiver davantage les chercheurs à soumettre des rapports détaillés. Plus précisément, l'entreprise a augmenté les récompenses pour les bogues à 15 000 dollars pour les vulnérabilités les plus critiques avec les rapports de la plus haute qualité.
Par ailleurs, une autre mise à jour importante des paramètres VRP existants est la limitation de l'attribution de CVE aux vulnérabilités. Google n'attribuera plus de CVE aux failles de gravité modérée. Au lieu de cela, il n'attribuera des identifiants CVE qu'aux vulnérabilités critiques et de haute sévérité.
Pendant que les nouveaux critères seront mis en place, Google mettra en évidence tout autre changement apporté aux règles VRP sur la page des règles publiques correspondantes. Les chercheurs intéressés doivent consulter régulièrement cette page pour se tenir au courant des dernières règles avant de soumettre leurs rapports de bogues.
Fais-nous part de tes réflexions dans les commentaires.
