Google a adouci le pot potentiel à 30 000 $ pour les chasseurs de bogues dans son projet de test de code open source OSS-Fuzz.
Mercredi, Google Augmentation des primes pour les projets de couverture floue (jusqu’à 5 000 $ par projet) et des récompenses supplémentaires pour certains FuzzBench Intégrations. Pour ces derniers, les contributeurs peuvent réclamer un prix allant jusqu’à 11 337 $ pour de telles intégrations « qui montrent une amélioration significative par rapport aux fuzzers existants ».
De plus, les chercheurs peuvent gagner de l’argent en intégrant de nouveaux désinfectants dans OSS-Fuzz. Les nouveaux désinfectants doivent trouver au moins deux vulnérabilités légitimes dans un projet open source, et le paiement maximum pour cette nouvelle catégorie de récompenses est également de 11 337 $.
« Ces changements augmentent le total des récompenses possibles par intégration de projet d’un maximum de 20 000 $ à 30 000 $ (selon la criticité du projet) », Google Oliver Chang expliqué dans un blog sur les mises à jour.
Le fuzz testing, ou fuzzing, est une méthode logicielle automatisée qui consiste à injecter des données aléatoires ou semi-aléatoires dans le logiciel pour détecter les bogues. Si quelque chose surgit, cela peut valoir la peine d’enquêter. Le programme de récompenses de Google utilise OSS-Fuzz: un service gratuit qui teste en permanence le code de quelque 700 projets open source que le géant de la recherche a développés en 2016 en réponse à la Vulnérabilité Heartbleed émettre.
Un an plus tard, le géant de la publicité a créé le Programme de récompense OSS-Fuzz. Depuis lors, les efforts de bug-bounty ont aidé à corriger plus de 8,800 vulnérabilités et 28,000 bugs à travers 850 projets, nous dit-on.
L’été dernier, le service fuzzing repéré Un défaut grave dans le projet TinyGLTF, une bibliothèque qui s’appuie sur la fonction de bibliothèque C wordexp() pour l’extension du chemin d’accès au fichier sur les chemins non approuvés à partir d’un fichier d’entrée.
Au fil des ans, le programme a versé 600 000 $ à plus de 65 contributeurs qui ont aidé à intégrer de nouveaux projets dans OSS-Fuzz.
Les offres de langage d’OSS-Fuzz incluent actuellement C / C ++, Go, Rust, Java, Python et Swift, et il sera bientôt prise en charge du fuzzing JavaScript par Jazzer.js.
L’année dernière, Google lancé l’OpenSSF FuzzIntrospector et l’a intégré dans OSS-Fuzz.
« L’ FuzzIntrospector fournit ces informations en identifiant les blocs de code complexes qui sont bloqués pendant le fuzzing au moment de l’exécution, ainsi qu’en suggérant de nouvelles cibles fuzz qui peuvent être ajoutées », a déclaré Chang. « Nous avons vu des utilisateurs utiliser avec succès cet outil pour améliorer la couverture de jsonnet, lime, xpdf et bzip2, entre autres.
Les chasseurs de bugs peuvent utiliser cet outil pour augmenter la couverture d’un projet et recevoir désormais un prix dans le cadre de la mise à jour OSS-Fuzz Rewards, a ajouté Chang.
OSS-Fuzz Rewards fait partie de la Programme Patch Rewards Cela incite à trouver et à corriger les failles de sécurité dans la sécurité open source. C’est un bon système pour trouver des bugs et permet à Google d’économiser une fortune dans la chasse aux bugs.
Au total, tous les programmes de bug bounty de Google ont payé un record 8,7 millions de dollars dans les récompenses de vulnérabilité en 2021, qui est l’année la plus récente pour laquelle ces chiffres sont disponibles. ®
