Η Google ανακοίνωσε αυτήν την εβδομάδα μια επέκταση στο πρόγραμμα επιβράβευσης OSS-Fuzz, μια πρωτοβουλία που αποσκοπεί στην επιβράβευση των συντελεστών για την ενσωμάτωση έργων στο OSS-Fuzz.
Ξεκίνησε το 2016, το OSS-Fuzz προορίζεται να βοηθήσει στον εντοπισμό τρωτών σημείων στο λογισμικό ανοιχτού κώδικα μέσω συνεχούς ασάφειας, με δηλωμένο στόχο να καταστήσει την κοινή υποδομή λογισμικού πιο ασφαλή.
Έξι μήνες μετά την κυκλοφορία, η Google ανακοίνωσε ότι προσέφερε ανταμοιβές μεταξύ 1.000 και 20.000 δολαρίων για την ενσωμάτωση έργων στο OSS-Fuzz, και τώρα λέει ότι έχει πληρώσει πάνω από 600.000 δολάρια σε περισσότερους από 65 διαφορετικούς συντελεστές ως μέρος του προγράμματος.
Ο γίγαντας του μάρκετινγκ αναζήτησης στο Διαδίκτυο έχει τώρα αυξήσει την υψηλότερη διαθέσιμη ανταμοιβή για την ενσωμάτωση νέου έργου στα 30.000 $, τα οποία μπορούν να απονεμηθούν ανάλογα με την «κρισιμότητα του έργου».
Το εργαλείο κυκλοφόρησε πέρυσι και έχει ήδη ενσωματωθεί στο OSS-Fuzz. Εκτελεί ανάλυση λειτουργιών, στατικών γραφημάτων κλήσεων και πληροφοριών κάλυψης χρόνου εκτέλεσης για να παρέχει πληροφορίες για τους αποκλειστές κάλυψης ασαφούς.
«Το εργαλείο Fuzz Introspector παρέχει αυτές τις πληροφορίες εντοπίζοντας σύνθετα μπλοκ κώδικα που μπλοκάρονται κατά τη διάρκεια του fuzzing κατά το χρόνο εκτέλεσης, καθώς και προτείνοντας νέους στόχους fuzz που μπορούν να προστεθούν», λέει η Google.
Αυξάνοντας τις πληρωμές και επεκτείνοντας το πρόγραμμα επιβράβευσης OSS-Fuzz, η Google επιδιώκει να ενισχύσει το OSS-Fuzz για να βρει περισσότερα τρωτά σημεία προτού τα εκμεταλλευτούν.
