Centre des communautés
Advertisement

Hé les gens !

En juillet 2019, nous avons annoncé le premier programme de Bug Bounty de Fandom, qui était axé sur la divulgation de failles de sécurité sur notre plateforme D&D Beyond en échange de primes d'un montant variable. Dans cette annonce, nous nous sommes engagés à lancer le programme sur la plateforme communautaire de Fandom, avec la possibilité pour les membres de la communauté de s'impliquer. Nous sommes heureux d'annoncer que nous avons lancé le programme de Bug Bounty sur la plateforme communautaire le mois dernier et nous serions ravis de discuter avec vous de la façon dont cela se déroule jusqu'à présent et de la manière dont nous faisons participer les membres de la communauté.

Qu'est-ce qu'un programme de bug bounty ?

Un programme de bug bounty (qui peut se traduire par « prime aux bogues ») est un arrangement dans lequel une entreprise invite des chercheurs en cybersécurité à trouver des failles de sécurité dans ses systèmes et à informer l'entreprise en privé de ce qu'ils ont découvert afin que l'entreprise puisse corriger les problèmes sans que des personnes malveillantes ne les exploitent. En échange de cette information, l'entreprise qui organise le programme de primes verse aux chercheurs une somme d'argent proportionnelle à la gravité des failles qu'ils découvrent.

Comment cela fonctionne-t-il dans notre cas ?

Les participants au programme sont invités à créer des comptes Fandom et leurs propres wikis afin de tester diverses failles de sécurité qu'ils ont vues fonctionner sur d'autres sites web. Lorsqu'ils trouvent quelque chose d'anormal, ils le notent — y compris l'impact potentiel en cas d'exploitation — et soumettent leurs conclusions. BugCrowd, la plateforme de sécurité qui coordonne notre programme de primes, et les ingénieurs de Fandom évaluent la découverte et, si elle est jugée valide, le chercheur est payé. Pour l'instant, le champ d'application du programme est limité aux nouveaux wikis dont les extensions par défaut sont activées, afin de tirer le plus grand bénéfice possible de ces tests de sécurité pour la plateforme dans son ensemble, sans perturber les communautés wiki existantes. Les futurs tests pourraient inclure des extensions supplémentaires (comme Cargo) afin qu'elles puissent également être testées.

La plateforme communautaire a été lancée sur le programme Bug Bounty de Fandom grâce à BugCrowd le 23 septembre 2021. Le groupe initial comprenait 51 chercheurs en sécurité expérimentés et bien vérifiés, qui ont tous un taux de réussite très élevé pour que leurs soumissions soient acceptées comme valides.

Au cours des quelques semaines du programme, nous avons validé et résolu 7 problèmes de sécurité signalés par les chercheurs, dont aucun n'était considéré comme critique. Nous sommes actuellement en train de valider ou de travailler à la résolution de 6 autres problèmes, tous considérés comme de faible priorité. Les 3 problèmes les plus prioritaires ont tous été résolus dans les 48 heures suivant la validation.

L'avantage général d'un tel programme est que, en mettant une incitation monétaire devant les testeurs de sécurité éthiques les plus avisés du monde, vous obtenez une plateforme de plus en plus sûre pour plus de 250 000 wikis et les 315 millions de fans qui utilisent Fandom chaque mois. Les membres de la communauté les plus compétents sur le plan technique et les plus soucieux en matière de sécurité ont la possibilité de participer au programme de primes. Fandom est actuellement en train d'identifier les membres de la communauté ayant de bons antécédents en matière de rapports de sécurité afin de les inviter à participer au programme de bug bounty.

Comment cela s'intègre dans le processus de test existant

Fandom ne teste-t-il pas déjà la sécurité et n'a-t-il pas un processus d'assurance qualité ? Si, c'est le cas. Fandom bénéficie également du fait que MediaWiki a déjà fait l'objet d'un examen approfondi de la part de professionnels dans le domaine de la sécurité, de sorte que la plateforme dispose déjà d'une très bonne base de sécurité.

Le programme de primes, cependant, permet de bénéficier d'yeux supplémentaires avec un degré d'attention encore plus élevé sur la sécurité. Le programme offre également une occasion supplémentaire de collaborer avec la Wikimedia Foundation et de partager les conclusions des chercheurs du programme afin de rendre MediaWiki plus sûr pour toutes les plateformes qui l'utilisent.

Je serai heureux de répondre à vos questions à présent.


Vous pouvez consulter l'article original ici (en anglais).

Vous souhaitez être informé(e) sur les billets postés en rapport avec l'actualité Fandom ?
Alors cliquez ici pour suivre ce blog.

Vous aimeriez en savoir plus sur la construction et l'utilisation d'un wiki ?
Lisez nos guides sur les bonnes pratiques pour garder votre communauté en pleine croissance et en bonne santé.

Vous souhaitez un accès à temps réel à vos camarades éditeurs et au staff ?
Rejoignez notre serveur Discord officiel pour les utilisateurs enregistrés !

Advertisement