L'Open Source Security Foundation a lancé hier un programme de bug bounty doté de 4 millions de dollars sur deux ans, ciblant les 200 paquets npm jugés systémiques pour l'écosystème JavaScript. Les récompenses vont de 500 dollars pour une vulnérabilité de faible impact à 50 000 dollars pour une faille critique exploitable à grande échelle.
Le programme couvre notamment express, react, lodash, axios, vite et 196 autres paquets identifiés via une analyse de dépendances transitive sur le top 10 000 npm. Le financement provient d'un consortium incluant Google, Microsoft, Amazon, Sony et la Fondation Linux.
Cette initiative répond à la multiplication des attaques de supply chain de ces dernières années — l'incident XZ Utils de 2024, les compromissions répétées de paquets npm via account takeover, et plus récemment l'attaque sur Polyfill.io en 2024. Pour Brian Behlendorf, directeur de l'OpenSSF, "la sécurité de l'open source ne peut plus reposer uniquement sur le bénévolat des mainteneurs".