Игра Яндекс Практикума
Игра Яндекс Практикума
Игра Яндекс Практикума
Написать пост

Google подвела итоги изучения безопасности в рамках проекта OSS-Fuzz

Новости

Пять месяцев назад Google запустила проект OSS-Fuzz, созданный для тестирования open source проектов. Пришло время подвести некоторые итоги.

383 открытий399 показов

Пять месяцев назад компания Google представила проект OSS-Fuzz, предназначенный для тестирования открытого ПО с целью выявления ошибок безопасности. С того момента ежедневно проводилось fuzzing-тестирование, проводя по 10 триллионов тестов в день. Благодаря вкладу Open Source сообщества было найдено более 1000 ошибок, 264 из которых представляют собой потенциальные уязвимости.

Google подвела итоги изучения безопасности в рамках проекта OSS-Fuzz 1

Значимые результаты

С помощью OSS-Fuzz были найдены критические уязвимости в крупнейших open source проектах. Программа обеспечивает автоматическую проверку проекта сразу после его подключения к OSS-Fuzz, что позволяет находить и устранять ошибки до того, как они наносят вред пользователям.

Fuzzing-тестирование определяет не только ошибки, связанные с безопасностью, но также ошибки в самом коде или логические ошибки.

Наконец, OSS-Fuzz сообщил о более 300 ошибок по таймауту и нехватке памяти (из них ~75% уже исправлены). Не везде они отмечаются как ошибки, но их исправление позволяет найти более серьёзные проблемы.

Вознаграждения за улучшение безопасности open source проектов

Google стимулирует разработчиков работать над безопасностью своих проектов с помощью fuzzing-тестирования. Для включения в программу было разработано отдельное руководство. Также была расширена программа вознаграждения за обнаружение уязвимости Patch Rewards, включающая теперь вознаграждение за использование OSS-Fuzz.

Для получения вознаграждения у проекта должна быть большая база пользователей и/или высокая значимость для мировой IT-инфраструктуры. Соответствующие требованиям проекты получат 1000 долларов за первоначальное внедрение программы и до 20 000 долларов при последующем использовании в зависимости от результатов интеграции (размер выплат определяется по усмотрению Google). Также у создателей проектов есть возможность пожертвовать предполагаемые выплаты на благотворительность, тогда Google увеличит сумму вознаграждения вдвое.

Создатели OSS-Fuzz надеются, что такие меры будут способствовать улучшению качества и безопасности ещё большего числа open source проектов и ПО в целом.

Следите за новыми постами
Следите за новыми постами по любимым темам
383 открытий399 показов
Также рекомендуем
ИИ-стартап от Y Combintaor украл код существующего open-source проекта и выдал за свой
ИИ-стартап от Y Combintaor украл код существующего open-source проекта и выдал за свой
ИИ-стартап PearAI от Y Combinator обвинили в использовании кода open-source проекта Continue.dev без должного признания. После критики со стороны сообщества, PearAI вернул лицензию Apache и извинился за недостаточную прозрачность
🔥 YouTube заблокируют в России уже осенью? Снижение скорости сервиса это только начало
🔥 YouTube заблокируют в России уже осенью? Снижение скорости сервиса это только начало
Сегодня утром появилась информация о замедлении работы YouTube в России. Оказалось, что это не самое худшее, то ждет сервис в стране
Код свободный — используйте кто хотите? Лицензии опенсорсных зависимостей в проприетарной разработке
Код свободный — используйте кто хотите? Лицензии опенсорсных зависимостей в проприетарной разработке
Узнайте, как правильно использовать опенсорсные зависимости в проприетарной разработке, избегая лицензионных рисков. Понимание различий между пермиссивными и копилефтными лицензиями поможет сохранить юридическую безопасность вашего проекта.
Каково работать в Google: всё бесплатно, но все капризничают
Каково работать в Google: всё бесплатно, но все капризничают
Узнали, как работается в Google: компания оплачивает все расходы, но разработчики капризничают и с трудом добиваются повышения.