为了鼓励发现开源软件中的漏洞,谷歌将OSS-Fuzz奖励计划的奖励金额增加到30,000美元。
现在,该计划已经发展壮大,单个项目集成的最高支出已从 20,000 美元增加到 30,000 美元。
OSS-Fuzz的目标是鼓励在开源项目中使用模糊测试,增加新的奖励类别将鼓励开发进一步的方法来集成这些项目。
Google为OSS-Fuzz添加了两种新的奖励,以鼓励广泛的改进。它在每个价格范围内的最高价格为 11,337 美元。此外,还加入了有助于发现漏洞的新清理器或“错误检测器”,以及包括著名的FuzzBench模糊器。
通过加强对安全研究人员和开源维护者的激励,Google OSS-Fuzz团队“希望加快将重要的开源项目整合到OSS-Fuzz中,”团队成员Oliver Chang说。
据谷歌称,自 850 年以来,由于 OSS-Fuzz 的努力,8800 个开源项目已经解决了 28 多个漏洞和 000,2016 个问题。截至 500 年底,纳入了大约 2021 个项目。这些范围从许多其他开源项目使用的库到最终用户的独立应用程序。
研究人员可以使用在线代码测试服务OSS-Fuzz进行“模糊测试”,这是一种自动化软件测试技术,用于发现漏洞,包括程序崩溃和内存泄漏。
Google OSS-Fuzz团队详细介绍了该计划明年的计划。其中包括增加对用多种语言编写的项目的支持。
例如,在刚刚过去的九月,OSS-Fuzz被用来发现C++库TinyGLTF中的一个严重缺陷。在解决该问题之前,该漏洞可能使攻击者能够在依赖该库的程序中执行代码。虽然该库本身是在C++年开发的,但谷歌当时强调,该漏洞可能会影响任何编程语言,这验证了该公司的模糊测试方法,该方法以前仅用于C和C++代码。Chromium,Linux内核,Windows,Android和许多其他平台只是其中的几个例子。
用谷歌自己的话说:像Go,Rust,Python和Java这样的内存安全语言都由OSS-Fuzz支持,OSS-Fuzz用于查找这些语言中的错误。此外,OSS-Fuzz很快将支持使用Jazzer的JavaScript模糊测试.js这要归功于与应用程序安全测试公司Code Intelligence的合作。
OSS-Fuzz引入了对C/C++、Python和Java项目的支持,Google还将OpenSSF的FuzzIntrospector整合到OSS-Fuzz中,以学习如何提高OSS效率的Fuzz和范围。