Google está ampliando su oferta de código abierto y pronto también admitirá la ofuscación de JavaScript

Google ha ampliado su programa de recompensas OSS-Fuzz para ofrecer recompensas de hasta 30.000 dólares a los investigadores que encuentren vulnerabilidades en el software de código abierto.

El alcance ampliado del programa ahora significa que las posibles recompensas totales por integración de proyecto aumentan de $ 20,000 a $ 30,000.

El propósito de OSS-Fuzz es respaldar proyectos de código abierto que adopten pruebas de fluff, y las nuevas clases de recompensas respaldan a aquellos que idean más formas de integrar nuevos proyectos.

Google ha creado dos nuevas categorías de recompensas que recompensan mejoras más amplias en todos los proyectos OSS-Fuzz. Ahorra Hasta $11,337 disponibles por clase. También ofrece recompensas por integraciones notables de FuzzBench fuzzer, incorporando nuevos desinfectantes o «detectores de errores» que ayudan a encontrar vulnerabilidades.

“Esperamos acelerar la integración de proyectos críticos de código abierto en OSS-Fuzz proporcionando incentivos más fuertes para los investigadores de seguridad y los mantenedores de código abierto”. Oliver Chang del equipo OSS-Fuzz de Google explica.

Desde 2016, OSS-Fuzz ha ayudado a superarlo 8800 vulnerabilidades y 28,000 Errores corregidos en todo 850 Proyectos de código abierto, según Google. En diciembre de 2021, es Cubrió 500 proyectos. Los proyectos incluyen software de usuario final para bibliotecas utilizadas en una variedad de otros proyectos de software abierto.

OSS-Fuzz es un servicio de prueba de código que permite a los investigadores realizar pruebas de «ofuscación» o programas automatizados destinados a bloquear el programa o causar una pérdida de memoria que puede indicar una falla de seguridad.

El equipo OSS-Fuzz de Google describió la dirección que está tomando el programa este año en términos de apoyo a proyectos escritos en diferentes lenguajes de programación.

Por ejemplo, en septiembre, se utilizó OSS-Fuzz para detectar un error grave en TinyGLTF, una biblioteca escrita en C++. Antes de que se corrigiera el error, este podría haber permitido a los atacantes ejecutar código en proyectos que usaban la biblioteca como dependencia. El Google observado en ese momento que si bien la biblioteca estaba escrita en C++, el error era aplicable a todos los lenguajes de programación y justificaba el enfoque de la ofuscación, que históricamente se ha centrado en los programas escritos en C/C++. Entre ellos se encuentran Chromium, kernel de Linux, Windows, Android y muchos más.

Las notas de Google OSS-Fuzz se utilizan para detectar problemas en lenguajes seguros para la memoria, incluidos Go, Rust, Python y Java. Además, al trabajar con la empresa de pruebas de seguridad de aplicaciones Code Intelligence, OSS-Fuzz llegará pronto. Soporte para ofuscar javascript a través de Jazzer js.

Google también ha integrado OpenSSF FuzzIntrospector de OSS-Fuzz Desde entonces, ha agregado soporte para proyectos C/C++, Python y Java integrados en OSS-Fuzz Obtenga información sobre formas de mejorar la efectividad y la cobertura de la ofuscación del proyecto.