.
O Google ampliou o pote potencial para $ 30.000 para caçadores de bugs em seu projeto de teste de código OSS-Fuzz de código aberto.
Na quarta-feira, o Google recompensas aumentadas para projetos de cobertura fuzzing (até US$ 5.000 por projeto) e recompensas adicionais para alguns FuzzBench integrações. Para este último, os contribuidores podem reivindicar um prêmio de até US$ 11.337 para essas integrações “que mostram melhorias significativas em relação aos fuzzers existentes”.
Além disso, os pesquisadores podem ganhar dinheiro integrando novos desinfetantes no OSS-Fuzz. Os novos desinfetantes devem encontrar pelo menos duas vulnerabilidades legítimas em um projeto de código aberto, e o pagamento máximo para esta nova categoria de recompensas também é de $ 11.337.
“Essas mudanças aumentam as recompensas totais possíveis por integração de projeto de um máximo de US$ 20.000 a US$ 30.000 (dependendo da criticidade do projeto)”, Google Oliver Chang explicado em um blog sobre as atualizações.
O teste fuzz, ou fuzzing, é um método de software automatizado que envolve a injeção de dados aleatórios ou semi-aleatórios no software para detectar bugs. Se algo surgir, pode valer a pena investigar. O programa de recompensas do Google usa o OSS-Fuzz: um serviço gratuito que testa continuamente o código em cerca de 700 projetos de código aberto que o gigante das buscas desenvolveu em 2016 em resposta ao Vulnerabilidade Heartbleed emitir.
Um ano depois, a gigante da publicidade estabeleceu o Programa de Recompensa OSS-Fuzz. Desde então, os esforços de recompensa de bugs ajudaram a consertar mais de 8.800 vulnerabilidades e 28.000 erros através 850 projetos, nos dizem.
No verão passado, o serviço fuzzing detectou uma falha grave no projeto TinyGLTF, uma biblioteca que depende da função da biblioteca C wordexp() para expansão de caminho de arquivo em caminhos não confiáveis de um arquivo de entrada.
Ao longo dos anos, o programa pagou US$ 600.000 a mais de 65 colaboradores que ajudaram a integrar novos projetos ao OSS-Fuzz.
As ofertas de linguagem do OSS-Fuzz atualmente incluem C/C++, Go, Rust, Java, Python e Swift, e em breve suporta fuzzing de JavaScript Através dos Jazzer.js.
No ano passado, o Google lançou o OpenSSF FuzzIntrospector ferramenta e integrou-o no OSS-Fuzz.
“O FuzzIntrospector A ferramenta fornece esses insights identificando blocos de código complexos que são bloqueados durante o fuzzing em tempo de execução, além de sugerir novos alvos de fuzz que podem ser adicionados”, disse Chang. “Vimos usuários usarem essa ferramenta com sucesso para melhorar a cobertura de jsonnet, Arquivo, xpdf e bzip2entre outros.”
Os caçadores de bugs podem usar essa ferramenta para aumentar a cobertura de um projeto e agora recebem um prêmio como parte da atualização do OSS-Fuzz Rewards, acrescentou Chang.
O OSS-Fuzz Rewards faz parte do programa mais amplo do Google Programa de Recompensas de Patches que incentiva encontrar e corrigir falhas de segurança na segurança de código aberto. É um bom esquema para encontrar bugs e economiza uma fortuna do Google na caça de bugs.
No total, todos os programas de recompensa de bugs do Google pagaram um recorde US$ 8,7 milhões em recompensas de vulnerabilidade em 2021, que é o ano mais recente para o qual esses números estão disponíveis. ®
.
