Cloudflare lance un programme public payant de primes de bugs

Cloudflare lance un programme public payant de primes de bugs

Image: Tofan Teodor

Cloudflare, une société américaine spécialisée dans l’infrastructure Web et la sécurité des sites Web, a annoncé le lancement d’un nouveau programme public de primes de bugs.

« Aujourd’hui, nous lançons le programme public payant de primes de bugs de Cloudflare », a déclaré Rushil Shah, ingénieur en sécurité des produits chez Cloudflare.

« Nous pensons que les primes de bugs sont un élément essentiel de la boîte à outils de chaque équipe de sécurité et nous avons travaillé dur pour améliorer et étendre notre programme privé de primes de bugs au cours des dernières années. »

Le nouveau programme public de primes de bugs fait suite à un programme de divulgation des vulnérabilités sans primes en espèces créé en 2014. Grâce à ce programme, Cloudflare a reçu 1 197 rapports, dont seulement 13 % sont valides car les chercheurs avaient du mal à comprendre son infrastructure et ses produits.

En 2018, Cloudflare a lancé un programme privé de primes de bugs visant à offrir une meilleure expérience aux chercheurs. À la mi-janvier 2022, Cloudflare a accordé 211 512 $ de primes pour les vulnérabilités dans le champ d’application, passant de 4 500 $ payés en 2018 à 101 075 $ en 2021.

La société a également publié un bac à sable de test nommé CumlusFeu avant de publier le nouveau programme public de primes, qui fournit aux chasseurs de bugs un terrain de jeu standardisé pour tester les exploits.

Le nouveau programme Bug Bounty de Cloudflare

À partir d’aujourd’hui, les chasseurs de bugs peuvent signaler les vulnérabilités de sécurité trouvées dans les produits Cloudflare via le site Web de l’entreprise. nouveau programme public de primes de bugs, hébergé sur la plateforme HackerOne.

Les chercheurs peuvent trouver plus d’informations sur les produits de Cloudflare en utilisant les Documentation développeur, Documentation API, la Centre d’apprentissage, et les matériaux trouvés sur Forums d’assistance de Cloudflare.

La répartition des récompenses de primes pour les cibles en fonction de la cote de gravité CVSS3 des problèmes peut être trouvée dans le tableau ci-dessous.

Gravité Critique (9.0 – 10.0) Élevé (7,0 – 8,9) Moyen (4,0 – 6,9) Faible (0,1 – 3,9)
Cibles primaires 3 000 $ 1 000 $ 500 $ 250 $
Cibles secondaires 2 700 $ 750 $ 350 $ 200 $
Autre 2 100 $ 500 $ 200 $ 100 $

En fonction des facteurs atténuants d’une vulnérabilité et de l’évaluation des risques commerciaux de Cloudflare, les problèmes signalés peuvent recevoir une cote de gravité inférieure.

« Tout comme nous avons développé notre programme privé, nous continuerons à faire évoluer notre programme public de primes de bugs pour offrir la meilleure expérience aux chercheurs », a déclaré Shah. ajoutée.

« Nous visons à ajouter plus de documentation, des plates-formes de test et un moyen d’interagir avec nos équipes de sécurité afin que les chercheurs puissent être sûrs que leurs soumissions représentent des problèmes de sécurité valables. »