กูเกิลประกาศหาโครงการเข้าร่วม OSS-Fuzz หาช่องโหว่อัตโนมัติ ได้เงินค่าปรับโครงการ

กูเกิลเปิดตัวโครงการ OSS-Fuzz ร่วมกับ Core Infrastructure Initiative ตั้งแต่ปลายปีที่แล้ว เพื่อหาช่องโหว่หน่วยความจำ use-after-free หรือ buffer overflow โดยอัตโนมัติ ตอนนี้โครงการเริ่มเปิดรับโครงการโอเพนซอร์สอื่นๆ เข้ามาร่วมโครงการกันมากขึ้น แถมยังมีเงินทุนให้โครงการปรับโครงการให้เข้ากับ OSS-Fuzz อีกด้วย

โครงการจ่ายเงินเพื่อนำโครงการซอฟต์แวร์โอเพนซอร์สเข้า OSS-Fuzz นี้เป็นส่วนหนึ่งของโครงการ Patch Reward ที่กูเกิลจ่ายเงินรางวัลให้กับแพตช์ที่ปรับปรุงความปลอดภัยของโครงการโอเพนซอร์ส โครงการที่จะเข้าร่วมได้ต้องมีฐานผู้ใช้ขนาดใหญ่หรือเป็นส่วนสำคัญของโครงสร้างไอทีในระดับโลก

เงินค่าปรับปรุงโครงการเบื้องต้นคือ 1,000 ดอลลาร์สำหรับการเข้า OSS-Fuzz และเงินรางวัลเพิ่มสำหรับการอินทิเกรตกับ OSS-Fuzz เป็นอย่างดีในแง่ต่างๆ (หมวดสุดท้ายคือในแง่ว่าทีมงาน OSS-Fuzz มองว่าเจ๋ง)

ตอนนี้ OSS-Fuzz ทำงานร่วมกับโครงการโอเพนซอร์สรวม 47 โครงการ พบบั๊กแล้วกว่าพันรายการ (อาจจะเป็นบั๊กความปลอดภัยถึง 264 รายการ) มีช่องโหว่ CVE-2017-2801 ในไลบรารีเข้ารหัส botan ชนกับรายงานจากนักวิจัยภายนอก

ที่มา - Google Open Source Blog



Topics: GoogleSecurityOpen Source