• Votre panier est vide.

  • LOGIN

Google met à jour les règles de récompense de vulnérabilité pour Android et les appareils


Certains articles de veille peuvent faire l'objet de traduction automatique.


Google a récemment annoncé des mises à jour importantes de son programme de récompense de vulnérabilité pour le système d’exploitation et les appareils Android. Comme précisé, Google utilisera désormais de nouveaux critères d’évaluation pour les rapports de vulnérabilité garantissant un meilleur impact sur la sécurité.

Google Android, mise à jour des règles de récompense de la vulnérabilité des appareils

Selon un récent poste de Sarah Jacobus, de l’équipe Vulnerability Rewards de Google, le géant de la technologie apporte des mises à niveau à son programme de récompense de vulnérabilité couvrant le système d’exploitation Android et les appareils Android.

Plus précisément, les dernières mises à jour portent sur la façon dont l’entreprise gère divers rapports de vulnérabilité. Par exemple, l’entreprise évaluera désormais les rapports de bogues comme étant de qualité élevée, moyenne ou faible, en tenant compte des détails fournis dans les rapports. Ce nouveau paramètre encouragera les chercheurs en sécurité à soumettre des rapports détaillés, ce qui, à son tour, aidera Google à mieux résoudre les problèmes de sécurité.

En ce qui concerne les exigences de Google pour le rapport de vulnérabilité parfait, le message mentionne les paramètres suivants.

  • Détails sur la vulnérabilité avec le nom et la version du ou des appareils respectifs.
  • Analyse complète des causes profondes de la vulnérabilité avec le code source respectif qui nécessite le correctif.
  • Preuve de concept claire dans des formats compréhensibles (vidéos, rapports de débogage, etc.).
  • Guide étape par étape pour les développeurs pour reproduire la vulnérabilité.
  • Informations sur le niveau d’accès ou d’exécution obtenu après l’exploitation de la vulnérabilité.

Bien que ces paramètres puissent sembler intimidants, Google a annoncé un autre avantage pour motiver davantage les chercheurs à soumettre des rapports détaillés. Plus précisément, l’entreprise a augmenté les récompenses de bogue à 15 000 $ pour les vulnérabilités les plus critiques avec les rapports de la plus haute qualité.

En outre, une autre mise à jour importante des paramètres VRP existants est la limitation de l’attribution CVE aux vulnérabilités. Google n’attribuera plus de CVE aux failles de gravité modérée. Au lieu de cela, il n’indiquera que les identifiants CVE aux vulnérabilités critiques et de haute gravité.

Pendant la mise en place des nouveaux critères, Google mettra en évidence toute autre modification des règles VRP sur les page de règles publiques. Les chercheurs intéressés doivent continuer à consulter cette page pour se tenir au courant des dernières règles avant de soumettre leurs rapports de bogues.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

mai 24, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)