Google Shells Out $600,000 for OSS-Fuzz Project Integrations
2023/02/02 SecurityWeek — 今週に Google は、OSS-Fuzz 報酬プログラムの延長を発表した。このイニシアチブは、OSS-Fuzz 上にプロジェクトを統合するコントリビューターに対して、報酬を与えることを目的としている。2016年に開始された OSS-Fuzz は、継続的なファジングを通じてオープンソース・ソフトウェアの脆弱性を特定し、共通のソフトウェア・インフラの安全性を高めることを目標としている。
同プログラムの立ち上げから半年後に Google は、OSS-Fuzz へのプロジェクトを統合に対して、$1,000 から $20,000 の報酬を提供したと発表した。現時点においては、このプログラムの一環として、65人以上のコントリビューターに対して、$600,000 以上を支払ったという。
今回の発表で Google は、新規プロジェクトの統合に適用する最高報酬額を $30,000 に引き上げ、プロジェクトの重要度に応じて授与すると述べている。
2022年に発表され、すでに OSS-Fuzz に統合されたツールにより、関数/静的コールグラフ/ランタイム・カバレッジ情報の分析などが実現され、ファジング・カバレッジ・ブロッカーに関する洞察が提供される。
Google は、「Fuzz Introspector は、ランタイムのファジング中にブロックされた、複雑なコードブロックの特定/洞察を提供し、さらに追加されるべき新しいファジング・ターゲットを示唆する」と述べている。
Google は、OSS-Fuzz の報酬プログラムを拡大することで、より多くの脆弱性を悪用前に発見できるよう、OSS-Fuzz の強化を目指している。
この OSS-Fuzz ですが、これまでに 500以上のオープンソース・プロジェクトで、3,000 以上のバグを FIX してきたと述べています。ただし、コレとは別に Google and Alphabet Vulnerability Reward Program (VRP) というものもあるので、OSS-Fuzz は Google 以外の OSS に対するバグ・バウンティなのでしょうかね? なお、オープンソースの安全性に対する Google の試みとしては、以下のようなものがあります。
2022/12/13:Google が OSV-Scanner を公開
2022/10/20:Google の GUAC:OSS の Knowledge Graph
2022/04/07:Google と GitHub:ソフトウェアの真正性確保
2021/08/13:Google Allstar で GitHub のセキュアな運用
2021/07/02:Google Scorecards は OSS のリスクをスキャン
IoT OT Security News 
You must be logged in to post a comment.