Google, açık kaynaklı OSS-Fuzz kod test projesinde potansiyel potu böcek avcıları için 30.000 $’a çıkardı.
Çarşamba günü, Google artan ödüller belirsiz kapsama projeleri için (proje başına 5.000 $’a kadar) ve bazıları için ödüller eklendi FuzzBench entegrasyonlar. İkincisi için, katkıda bulunanlar “mevcut fuzzer’lara göre önemli gelişme gösteren” bu tür entegrasyonlar için 11.337 $’a kadar bir ödül talep edebilirler.
Ek olarak, araştırmacılar yeni dezenfektanları OSS-Fuzz’a entegre ederek para kazanabilirler. Yeni temizleyiciler, açık kaynaklı bir projede en az iki yasal güvenlik açığı bulmalıdır ve bu yeni ödül kategorisi için maksimum ödeme de 11.337 ABD dolarıdır.
Google Oliver Chang, “Bu değişiklikler, proje entegrasyonu başına mümkün olan toplam ödülü maksimum 20.000 ABD Dolarından 30.000 ABD Dolarına çıkarıyor (projenin kritikliğine bağlı olarak),” açıkladı güncellemeler hakkında bir blogda.
Fuzz testi veya fuzzing, hataları tespit etmek için yazılıma rasgele veya yarı rasgele veri enjekte etmeyi içeren otomatik bir yazılım yöntemidir. Bir şey ortaya çıkarsa, araştırmaya değer olabilir. Google’ın ödül programı, arama devinin 2016’da geliştirdiği yaklaşık 700 açık kaynaklı projedeki kodu sürekli olarak test eden ücretsiz bir hizmet olan OSS-Fuzz’u kullanıyor. Heartbleed güvenlik açığı konu.
Bir yıl sonra reklam devi, OSS-Fuzz Ödül Programı. O zamandan beri, bug-ödül çabaları birden fazla düzeltmeye yardımcı oldu. 8.800 güvenlik açıkları ve 28.000 genelinde hatalar 850 projeler dedik.
Geçen yaz tüylenme servisi fark edildi ciddi bir kusur TinyGLTF projesinde, bir girdi dosyasından güvenilmeyen yollarda dosya yolunu genişletmek için wordexp() C kitaplığı işlevine dayanan bir kitaplık.
Yıllar boyunca program, yeni projelerin OSS-Fuzz’a entegre edilmesine yardımcı olan 65’ten fazla katılımcıya 600.000 $ ödedi.
OSS-Fuzz’un dil teklifleri şu anda C/C++, Go, Rust, Java, Python ve Swift’i içeriyor ve yakında olacak JavaScript bulanıklaştırmayı destekleyin vasıtasıyla Jazzer.js.
Google, geçen yıl OpenSSF FuzzIntrospector’ı başlattı aracı ve OSS-Fuzz’a entegre etti.
” FuzzIntrospector aracı, çalışma zamanında bulanıklaştırma sırasında engellenen karmaşık kod bloklarını belirleyerek ve eklenebilecek yeni belirsiz hedefler önererek bu içgörüleri sağlıyor” dedi. jsonnet, dosya, xpdf ve bzip2diğerleri arasında.”
Chang, hata avcılarının bu aracı bir projenin kapsamını artırmak için kullanabileceğini ve artık OSS-Fuzz Rewards güncellemesinin bir parçası olarak bir ödül alabileceğini de sözlerine ekledi.
OSS-Fuzz Rewards, Google’ın daha geniş kapsamlı Yama Ödül Programı açık kaynak güvenliğindeki güvenlik kusurlarını bulmayı ve düzeltmeyi teşvik eder. Hata bulmak için iyi bir şemadır ve Google’a hata avında bir servet kazandırır.
Toplamda, Google’ın tüm hata ödül programları bir rekor ödedi 8,7 milyon dolar Bu rakamların mevcut olduğu en son yıl olan 2021’deki güvenlik açığı ödüllerinde. ®