Сбер вакансии Backend
Сбер вакансии Backend
Сбер вакансии Backend
Написать пост

Google подвела итоги изучения безопасности в рамках проекта OSS-Fuzz

Новости

Пять месяцев назад Google запустила проект OSS-Fuzz, созданный для тестирования open source проектов. Пришло время подвести некоторые итоги.

380 открытий392 показов

Пять месяцев назад компания Google представила проект OSS-Fuzz, предназначенный для тестирования открытого ПО с целью выявления ошибок безопасности. С того момента ежедневно проводилось fuzzing-тестирование, проводя по 10 триллионов тестов в день. Благодаря вкладу Open Source сообщества было найдено более 1000 ошибок, 264 из которых представляют собой потенциальные уязвимости.

Google подвела итоги изучения безопасности в рамках проекта OSS-Fuzz 1

Значимые результаты

С помощью OSS-Fuzz были найдены критические уязвимости в крупнейших open source проектах. Программа обеспечивает автоматическую проверку проекта сразу после его подключения к OSS-Fuzz, что позволяет находить и устранять ошибки до того, как они наносят вред пользователям.

Fuzzing-тестирование определяет не только ошибки, связанные с безопасностью, но также ошибки в самом коде или логические ошибки.

Наконец, OSS-Fuzz сообщил о более 300 ошибок по таймауту и нехватке памяти (из них ~75% уже исправлены). Не везде они отмечаются как ошибки, но их исправление позволяет найти более серьёзные проблемы.

Вознаграждения за улучшение безопасности open source проектов

Google стимулирует разработчиков работать над безопасностью своих проектов с помощью fuzzing-тестирования. Для включения в программу было разработано отдельное руководство. Также была расширена программа вознаграждения за обнаружение уязвимости Patch Rewards, включающая теперь вознаграждение за использование OSS-Fuzz.

Для получения вознаграждения у проекта должна быть большая база пользователей и/или высокая значимость для мировой IT-инфраструктуры. Соответствующие требованиям проекты получат 1000 долларов за первоначальное внедрение программы и до 20 000 долларов при последующем использовании в зависимости от результатов интеграции (размер выплат определяется по усмотрению Google). Также у создателей проектов есть возможность пожертвовать предполагаемые выплаты на благотворительность, тогда Google увеличит сумму вознаграждения вдвое.

Создатели OSS-Fuzz надеются, что такие меры будут способствовать улучшению качества и безопасности ещё большего числа open source проектов и ПО в целом.

Следите за новыми постами
Следите за новыми постами по любимым темам
380 открытий392 показов