Suivant le principe des "bounty hunters", ces chasseurs de primes qui chassaient des animaux en échange de récompenses, le nouveau programme propose à la communauté des primes pour la traque des bugs critiques au niveau de la sécurité des logiciels du projet. Je n'ai trouvé que peu d'informations pour le moment sur le net concernant ce programme. Apparemment, cette idée ferait suite à un programme similaire existant pour les produits Netscape.
Les récompenses seront attribuées par l'équipe de la fondation Mozilla après évaluation des rapports établis par les utilisateurs. Pour chaque nouvelle faille, une récompense de 500 US $ (env. 415 ) sera attribuée au découvreur.
Les fonds seront trouvés notamment grâce au support de la société Linspire Inc. et à l'entrepreneur Mark Shuttleworth.
Il est aussi demandé à la communauté de contribuer par des dons à ce "sponsoring". Il est d'ailleurs précisé que Mark Shuttleworth doublera chacun des 5000 premiers dollars de dons collectés auprès de la communauté.
Je pense que l'initiative est bonne, mais le fait que la récompense soit financière me dérange personnellement un peu. Certes pour la motivation, c'est le plus efficace pour beaucoup de gens, mais philosophiquement c'est triste... Surtout lorsqu'il s'agit du monde du logiciel libre...
Aller plus loin
- Annonce sur le site de Mozilla (15 clics)
- La centrale de Sécurité de la fondation Mozilla (3 clics)
# Oui mais...
Posté par Guillaume Lebigot (site web personnel) . Évalué à 6.
Je suis d'accord sur le fait qu'une motivation par l'argent n'est peut-être pas la plus adaptée au monde du logiciel libre, mais je vois plutôt ça comme la motivation de la fondation Mozilla d'éliminer tous les bugs possibles assez rapidement.
Pour moi c'est à la fois une motivation des gens à la tête du projet Mozilla (de vouloir exterminer les bugs) et aussi une motivation pour ceux qui voudraient à la fois aider le logiciel libre et obtenir une récompense très encourageante.
Logiciel libre et argent ne sont pas incompatibles, je crois, et il faut bien se dire qu'on ne peut pas vivre de logiciel libre et d'eau fraîche tout le temps :)
[^] # Re: Oui mais...
Posté par Pascal . Évalué à 10.
Dans des grands projets libres, certains dévellopeurs sont payés, ce qui est normal. Je ne vois donc pas pourquoi on ne remunererai pas tous ceux qui participent à l'effort de dévellopement y compris les volontaires qui recherchent des failles de sécurité. On est bien dans l'esprit du logiciel libre ou un des buts est d'avoir le programme dont la qualité est a meilleure possible.
L'argent n'est absolument pas incompatible avec l'esprit du logiciel libre.
De plus, je pense que tout ce qui permettra d'impliquer les utilisateurs dans l'effort de dévellopement est bon à prendre.
[^] # Re: Oui mais...
Posté par passant·e . Évalué à 0.
Les gens ne le feront plus dans le but d'améliorer le programme mais dans le but de gagner de l'argent. C'est une bonne chose car les gens seront motivés pour publier les bugs connus mais si une fois l'argent vient à manquer...
Je trolle dès quand ça parle business, sécurité et sciences sociales
[^] # Re: Oui mais...
Posté par Yusei (Mastodon) . Évalué à 7.
Maintenant admettons que j'ai besoin d'améliorer un logiciel, mais que je n'ai pas les compétences ou le temps pour le faire ? La motivation par l'argent est un moyen de contribuer pour les gens qui voudraient améliorer un logiciel mais qui ne peuvent pas de manière classique. Ils ne font que reporter leur problème sur un développeur.
Après, la crainte que l'on voie apparaître des développeurs qui ne bossent que pour l'argent est, à mon avis, infondée. Ce n'est pas demain la veille du jour où il sera plus rentable de coder du libre que du propriétaire. Et même si cela arrivait, peu importe, le code libre reste libre quelle que soit la motivation qui a poussé le développeur à le faire. On pourrait juste craindre qu'un développeur qui soit motivé par l'argent s'applique moins, mais jusqu'à maintenant les bounty impliquent un "jury" qui décide si la prime est versable ou non.
[^] # Re: Oui mais...
Posté par pasBill pasGates . Évalué à 3.
1) Ceux qui le font pour l'argent
2) Ceux qui ne le font pas pour l'argent
Aujourd'hui :
1) Ne sont pas la
2) Sont la
Demain, avec le bounty program :
1) S'ajoutent aux developpeurs existants
2) Sont toujours la
Apres-demain, si il n'y a plus d'argent :
1) Ne sont plus la
2) Sont toujours la
Bref, dans tous les cas, il y a soit + soit le meme nombre de developpeurs qu'aujourd'hui.
[^] # Re: Oui mais...
Posté par Victor STINNER (site web personnel) . Évalué à 7.
Je pense que certaines tâches doivent être rémunérées (ce que personne ne veut faire), ou alors qu'il y a très peu de développeurs dans un domaine donné. Je pense par exemple aux logiciels Macromedia Flash, Sonic Foundry Sound Forge, Steinberg Cubase, etc. qui n'ont toujours pas d'équivalence (niveau qualité) en logiciel libre.
Je pense que se limiter aux logiciels "développé durant le temps libre" risque de restreindre le choix de l'utilisateur en matière de logiciel libre, et on se retrouvera avec des versions Linux des logiciels (propriétaires) cités plus haut.
Haypo
[^] # Re: Oui mais...
Posté par Vincent ZOONEKYND . Évalué à 3.
http://truetex.com/knuthchk.htm(...)
http://www-cs-faculty.stanford.edu/~knuth/abcde.html(...)
[^] # Re: Oui mais...
Posté par ribwund . Évalué à 1.
[^] # Re: Oui mais...
Posté par chl (site web personnel) . Évalué à 2.
Ah ? Je savais pas ... en meme temps ca m'etonne qu'a moitié. Si un jour j'arrive a trouver une erreur dans TeX ou taocp, et que je recois un cheque de D. Knuth, je prefererais encadrer ce cheque plutot que de l'encaisser :)
# Le problème c'est le choix ;)
Posté par Mickaël Sibelle (site web personnel) . Évalué à 3.
- ceux qui payeraient (et qui payent) très cher pour tenir ceux qui ont trouvé et exploité des failles ;
- ceux qui payeraient (et qui à priori payeront) pour tenir les failles...
Voilà un choix important !
# Les bounty, c'est super bon !
Posté par Victor STINNER (site web personnel) . Évalué à 2.
http://www.markshuttleworth.com/bounty.html(...)
Y'en a pour tout le monde : Python, Mozilla, Gnome, SchoolTool, etc. avec des prix assez intéressants !
Vous connaissez d'autres sites de bounty ?
Ca fait un bout de temps que je pense à offrir un prix à celui qui m'écrira une interface graphique (en GTK2) pour la calculatrice dont j'ai arrêté le développement (http://www.haypocalc.com/(...)). Ca serait un prix du genre 15-20. Quelqu'un est intéressé ? Qu'en dites-vous ?
@+ Haypo
[^] # Re: Les bounty, c'est super bon !
Posté par fouinto . Évalué à 6.
Cependant, je dis peut-être une connerie mais... est ce que le risque n'est pas que les mecs qui debuggaient comme des fous ne s'intéressent plus qu'aux projets ayant ce genre de pratique et délaissant les autres?
Si certains projets donnent des récompenses... c'est motivant pour bosser sur ce projets... donc un peu démotivant de bosser pour les autres projets... pourquoi s'embêter à bosser sur une application sans récompense alors qu'on peut également bosser sur une autre application qui offre une récompense...
Bon j'imagine que les projets "important" (notez l'usage des guillemets) utiliseront ce système... ça se fera donc un peu au détriment des projets "moins important"...
Mais bon, je me trompe peut-être... et tout le monde ne résonner pas comme ça... mais y a quand même un risque...
[^] # Re: Les bounty, c'est super bon !
Posté par f l . Évalué à 3.
Je me souviens avoir vu ce site il y près d'un an, à peu près au moment ou Ximian/Novell ont mis en place des Bounties pour gnome.
Je constate que d'après la page, 1 seul bounty a été attribué. Alors soit la page n'est pas à jour, soit, malgré l'argent et les sommes non négligeables proposées, il n'y a pas de volontaires.
[^] # Re: Les bounty, c'est super bon !
Posté par durandal . Évalué à 2.
# Un peu HS mais je vais pas en faire une news ;-)
Posté par Anthony F. . Évalué à 3.
http://fr.trendmicro-europe.com/consumer/products/housecall_launch.(...)
Jusqu'alors c'était un ActiveX qui prenait en charge le scan des PC, or Trend a lancé récemment une version béta de son outil, je cite : "surpassing the previous versions by supporting major browsers and operating systems".
Voilà donc une grande nouvelle : il est maintenant possible de scanner les PC depuis un FireFox ou un Opera, et, chose plus étonnante, la phrase laisse penser qu'il est possible de scanner les fichiers sur "la plupart des OS" (dont Linux?) !
L'interface est réussi, le tout en java, par contre ça semble un peu lent à charger.
Le site attend des retours de la phase béta.
# Devenir une Star
Posté par Pantagruel . Évalué à 3.
Au lieu de payer des gens, il faudrait afficher leur nom sur la première page de du site Mozilla ou créer sur le même site une rubrique mettant en valeur ces personnes.
Pour elles cela vaut plus que $ 500.- et pour la Fondation, c'est gratuit.
[^] # Re: Devenir une Star
Posté par fouinto . Évalué à 3.
Comme je disais plus haut, j'ai peu que l'argent produise un effet pervers, en revanche, si ca peut aider ceux qui bossent VRAIMENT pour le libre à vivre... changer de PC (c'est vitale ça)... je trouve ça bien :)
Combien d'entre nous aimeraient pouvoir vivre du libre? combien en vivent effectivement? vivre de son idéologie, ce serait pas beau tout ça?
[^] # Re: Devenir une Star
Posté par Yusei (Mastodon) . Évalué à 5.
Comment tu le sais ?
[^] # Re: Devenir une Star
Posté par ceituna (site web personnel) . Évalué à 1.
# "Où est le problème ?"
Posté par Gloom . Évalué à -5.
Mais, retournons le problème en allant peut-être au-delà de condidérations éthiques car, c'est là on mon avis que le bas blesse:
Vous avez envie de faire un don à la Mozilla fondation parcequ'il fourni un service de qualité au monde entier et ce gratuitement. Vous apprenez l'existance de ce système de récompence. Avez-vous toujours envie de donner sachant que cette argent va servir pour donner des prix exhorbitant en récompence à quelque chose que des milliers de gens faisait gratuitement par pure altruisme et ou par envie d'améliorer des produits qu'ils utilisent et affectionnent ?
Que l'on paye les développeurs, c'est très bien, que l'on paye quelqu'un pour tester et dire que ça ne marche pas (ce qui ne nécessite aucune conpétence), c'est gâcher de l'argent pas forcément facile à obtenir. Et gacher de l'argent, ça ne donne pas envie de donner.
Ca me déçois énormément de la part de la Mozilla Fondation qui ne fait pas confience à la générositer des gens, et ou, à leur envie d'améliorer un produit qu'ils utilisent et aprécie.
Toutes proportion garder, ça me fait pensé à une association carritative qui utilisait ces dons pour louer des grosses voitures pour leurs responsables, car, il y a une image de marque à concerver...
[^] # Tout dépend du niveau
Posté par Seazor . Évalué à -1.
Si on file le patch qui va bien et tout et tout, on pourrait dire que c'est mérité.
A eux de juger si la contribution a été suffisante suivant les détails apportés, la gravité du bug,...
Je dirais plutot que c'est faire passer la générosité financière, avant les autres types de générosité (notamment immatérielle. exemple : temps passé a debugger, partage d'infos,...)
[^] # RTFA
Posté par Yusei (Mastodon) . Évalué à 7.
Peut-être qu'en lisant l'article tu aurais vu qu'il ne s'agit pas de cela, mais de payer des gens pour chercher et trouver des failles de sécurité. Si tu penses que trouver des failles de sécurité dans Mozilla ne nécessite aucune compétence, c'est plutôt insultant pour les développeurs de Mozilla ;-)
Il y a une différence entre rapporter un bug sur lequel on est tombé et chercher activement des angles d'attaque.
# Mercenaire du développement
Posté par wilk . Évalué à 2.
Je rappelle au passage qu'en France il faut être inscrit à l'urssaf pour encaisser un bounty, et ne pas oublier de payer les charges hein si on veut que nos enfants puissent aller à l'école.
# Problème?
Posté par Gnurou (site web personnel) . Évalué à 2.
Pas mal de monde dit qu'il y a un problème d'éthique, mais personne n'a encore dit en quoi c'en était un. Ça doit être tout simplement parce qu'il n'y a pas de problème en dehors de la frilosité de voir "argent" et "libre" côte à côte.
[^] # Re: Problème?
Posté par Pantagruel . Évalué à 0.
Pourquoi certains programmeurs devraient être rétribués et pas d'autres ?
Cet argent serait bien mieux investi dans des publicités télévisées pour en faveur des LL et pour faire contre-poid à celle de M$.
Toute la communauté bénéficierait des retombées.
[^] # Re: Problème?
Posté par Yusei (Mastodon) . Évalué à 3.
C'est déjà le cas actuellement: il y a des développeurs bénévoles et des développeurs rémunérés. Est-ce que ça te choque que des entreprises payent des gens pour travailler sur Linux (ou un autre logiciel libre) ?
«publicités télévisées [...] Toute la communauté bénéficierait des retombées.»
Ah parce que quand une faille de sécurité est corrigée, ça n'est pas bénéfique à l'ensemble de la communauté ? :-)
[^] # Re: Problème?
Posté par Pantagruel . Évalué à 1.
En combien de temps une faille de sécurité non-rémunérée est-elle corrigée ?
En combien de temps une faille de sécurité rémunérée est-elle corrigée ?
La différence vaut-elle la peine ?
Etant donné les ressources financières limitées des LL et la méconnaisance des LL hors d'un public averti, ne vaudrait-il pas mieux investir cet argent dans la promotion des LL que dans la récompense de certains développeurs?
Pourquoi ne pas lancer un concours de clips publicitaires comme l'ont fait Georges Soros et Mobby pour contrer Georges Bush. ?(http://www.bushin30seconds.org/(...) )
[^] # Re: Problème?
Posté par Yusei (Mastodon) . Évalué à 4.
Ceci dit, je ne vois pas de problème éthique quant au fait de payer un développeur pour corriger une faille qui me gène, bien que je ne sois pas une entreprise. Il me semble d'ailleurs que la fondation Mozilla s'autorise à payer des gens, alors qu'elle vit de dons.
[^] # Re: Problème?
Posté par tgl . Évalué à 2.
[^] # Re: Problème?
Posté par Gnurou (site web personnel) . Évalué à 1.
> Pourquoi certains programmeurs devraient être rétribués et pas d'autres ?
Eh, rien n'empêche ceux qui veulent être payés de consulter les bounties si ça les chante. Tout le monde est éligible autant que je sache. On ne peut pas interdire à des mécènes de payer des gens pour résoudre certains problèmes.
> Cet argent serait bien mieux investi dans des publicités télévisées pour en faveur des LL et pour faire contre-poid à celle de M$.
Des publicités télévisées... Faudrait sortir de vos délires, un peu. :) Ce ne sont pas les publicités qui vont améliorer la qualité de mozilla. Par contre, le cracker qui s'emmerde le soir, s'il touche 500$ pour reporter une faille à la fondation Moz au lieu de l'exploiter en faisant un ver ravageur risquerait presque d'être utile pour l'occasion.
Ce n'est pas à nous de décider ce que les autres ont à faire de leur argent. La nature de mozilla n'est pas touchée par ces bounties, et franchement il n'y a que de quoi se réjouir de savoir qu'on peut gagner des sioux en participant au libre.
[^] # Re: Problème?
Posté par Jean-Christophe Berthon (site web personnel) . Évalué à 2.
Je ne critiquais pas ni trouvais un problème d'éthique à cela. Je trouvais ça triste, et c'est une opinion subjective.
Les anglais disent souvent que le logiciel libre (free like in free speech) ne doit pas être confondu avec le logiciel gratuit (free like in free beer) les deux sens existant sous un même mot en anglais. Et je partage leur opinion. Je ne vois pas d'inconvénient à ce que quelqu'un vende un logiciel libre pour pouvoir rémunérer son travail qu'il a investit dans ce projet.
Mon propos s'attachait plus à l'aspect "récompense" (assez similaire des "rewards" dans les westerns pour les gangsters "wanted"). C'est un principe, tout comme la délation contre récompense, qui ne m'inspire pas beaucoup. Et à mon humble avis - mais là encore c'est subjectif - c'est une méthode triste surtout en regard de la philosophie libre.
Voilà, la remarque finale n'était que personnelle. Elle voulait dire que je n'aurais pas proposer une telle solution - que je trouve triste - mais que je n'y suis pas contre si des gens la souhaitent!
Jean-Christophe
# Une nouvelle faille critique dans Mozilla
Posté par Jérôme Pinot (site web personnel) . Évalué à 1.
http://www.k-otik.net/bugtraq/08032004.MozillaNetscape.php(...)
Un problème de type integer overflow qui affecte Mozilla (<= 1.6) et Netscape (<=7.1)
Permet d'exploiter du code en local ou à distance.
Pas de solution officielle pour Netscape à part désactiver le javascript.
Pour Mozilla, passer à la version 1.7.1
Les Firefox récents ne devrait donc pas être affectés.
Ça valait bien un bounty.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.