導(dǎo)航菜單

谷歌計(jì)劃增加對(duì)JAVASCRIPT模糊測(cè)試的支持

導(dǎo)讀 為了鼓勵(lì)發(fā)現(xiàn)開源軟件中的漏洞,谷歌將OSS-Fuzz獎(jiǎng)勵(lì)計(jì)劃的獎(jiǎng)勵(lì)金額增加到30,000美元。現(xiàn)在,該計(jì)劃已經(jīng)發(fā)展壯大,單個(gè)項(xiàng)目集成的最高支出

為了鼓勵(lì)發(fā)現(xiàn)開源軟件中的漏洞,谷歌將OSS-Fuzz獎(jiǎng)勵(lì)計(jì)劃的獎(jiǎng)勵(lì)金額增加到30,000美元。

現(xiàn)在,該計(jì)劃已經(jīng)發(fā)展壯大,單個(gè)項(xiàng)目集成的最高支出已從 20,000 美元增加到 30,000 美元。

OSS-Fuzz的目標(biāo)是鼓勵(lì)在開源項(xiàng)目中使用模糊測(cè)試,增加新的獎(jiǎng)勵(lì)類別將鼓勵(lì)開發(fā)進(jìn)一步的方法來集成這些項(xiàng)目。

Google為OSS-Fuzz添加了兩種新的獎(jiǎng)勵(lì),以鼓勵(lì)廣泛的改進(jìn)。它在每個(gè)價(jià)格范圍內(nèi)的最高價(jià)格為 11,337 美元。此外,還加入了有助于發(fā)現(xiàn)漏洞的新清理器或“錯(cuò)誤檢測(cè)器”,以及包括著名的FuzzBench模糊器。

通過加強(qiáng)對(duì)安全研究人員和開源維護(hù)者的激勵(lì),Google OSS-Fuzz團(tuán)隊(duì)“希望加快將重要的開源項(xiàng)目整合到OSS-Fuzz中,”團(tuán)隊(duì)成員Oliver Chang說。

據(jù)谷歌稱,自 850 年以來,由于 OSS-Fuzz 的努力,8800 個(gè)開源項(xiàng)目已經(jīng)解決了 28 多個(gè)漏洞和 000,2016 個(gè)問題。截至 500 年底,納入了大約 2021 個(gè)項(xiàng)目。這些范圍從許多其他開源項(xiàng)目使用的庫到最終用戶的獨(dú)立應(yīng)用程序。

研究人員可以使用在線代碼測(cè)試服務(wù)OSS-Fuzz進(jìn)行“模糊測(cè)試”,這是一種自動(dòng)化軟件測(cè)試技術(shù),用于發(fā)現(xiàn)漏洞,包括程序崩潰和內(nèi)存泄漏。

Google OSS-Fuzz團(tuán)隊(duì)詳細(xì)介紹了該計(jì)劃明年的計(jì)劃。其中包括增加對(duì)用多種語言編寫的項(xiàng)目的支持。

例如,在剛剛過去的九月,OSS-Fuzz被用來發(fā)現(xiàn)C++庫TinyGLTF中的一個(gè)嚴(yán)重缺陷。在解決該問題之前,該漏洞可能使攻擊者能夠在依賴該庫的程序中執(zhí)行代碼。雖然該庫本身是在C++年開發(fā)的,但谷歌當(dāng)時(shí)強(qiáng)調(diào),該漏洞可能會(huì)影響任何編程語言,這驗(yàn)證了該公司的模糊測(cè)試方法,該方法以前僅用于C和C++代碼。Chromium,Linux內(nèi)核,Windows,Android和許多其他平臺(tái)只是其中的幾個(gè)例子。

用谷歌自己的話說:像Go,Rust,Python和Java這樣的內(nèi)存安全語言都由OSS-Fuzz支持,OSS-Fuzz用于查找這些語言中的錯(cuò)誤。此外,OSS-Fuzz很快將支持使用Jazzer的JavaScript模糊測(cè)試.js這要?dú)w功于與應(yīng)用程序安全測(cè)試公司Code Intelligence的合作。

OSS-Fuzz引入了對(duì)C/C++、Python和Java項(xiàng)目的支持,Google還將OpenSSF的FuzzIntrospector整合到OSS-Fuzz中,以學(xué)習(xí)如何提高OSS效率的Fuzz和范圍。

免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

猜你喜歡:

最新文章: