Cloudflare a lancé un programme public de primes de bogues pour succéder au programme sur invitation uniquement en place depuis 2018.

Les bogues critiques exigeront des paiements de 3 000 $, les failles de gravité élevée peuvent rapporter aux chercheurs jusqu’à 1 000 $, les vulnérabilités à risque moyen leur rapporteront un potentiel de 500 $ et les problèmes à faible risque attireront des paiements de 250 $.

Opérationnel depuis mardi (1er février), le nouveau programmecomme son prédécesseur privé, est hébergé par HackerOne et possède tous les actifs de Cloudflare.

Rapport signal sur bruit

Cloudflare, le fournisseur de réseaux de diffusion de contenu (CDN) et de services d’atténuation DDoS de la Silicon Valley, a déclaré qu’il avait l’intention d’ouvrir éventuellement le programme à l’ensemble de la communauté des pirates éthiques depuis qu’il a lancé un programme de divulgation des vulnérabilités (VDP) sans récompense financière en 2014. .

« Pour atteindre cet objectif, nous devions apprendre à soutenir au mieux les chercheurs et à améliorer le rapport signal sur bruit des rapports, tout en développant nos processus internes pour suivre et corriger un flux de vulnérabilités signalées avec nos équipes d’ingénierie », lit un article de blog.

Les améliorations du programme ont inclus la fourniture de plus d’informations sur les cibles afin de réduire le nombre de soumissions invalides, qui épuise jusqu’ici les ressources.

CONSEILLÉ Bug Bounty Radar // Les derniers programmes de bug bounty pour février 2022

« Comprendre où Cloudflare s’intègre dans le pipeline de requêtes/réponses HTTP peut devenir très difficile avec plusieurs produits activés », a expliqué Cloudflare. « En conséquence, la plupart des rapports que nous avons reçus au cours de ces premières années provenaient de personnes qui avaient vu quelque chose qui leur semblait atypique, mais qui, à notre avis, n’était pas réellement une vulnérabilité nécessitant une réparation. »

D’autres améliorations ont inclus l’élargissement des champs d’application et l’introduction d’un bac à sable de test et de «cartes au trésor» pour signaler les zones à haut risque.

Ces améliorations et d’autres ont vu le rapport signal sur bruit bondir de 13% à ce jour pour le VDP à 68% pour le programme privé de primes de bogues, qui a vu 292 des 430 rapports au total recevoir une récompense.

Quelque 419 hackers ont participé au programme privé à ce jour, et les paiements annuels totaux ont augmenté chaque année à mesure que davantage de chercheurs ont été recrutés. Le total des primes versées à ce jour a atteint plus de 200 000 $.

Cloudflare indique qu’il a l’intention d’ajouter de nouvelles plates-formes de documentation et de test au fil du temps, ainsi que d’améliorer les interactions entre les chasseurs de bogues et les équipes de sécurité.