Google heeft de beloningen voor hun OSS-Fuzz code testing project verhoogd, waardoor de hoofdprijs nu 30.000 dollar is. Afgelopen woensdag heeft het bedrijf een aantal aantrekkelijke incentives toegevoegd voor fuzzing projecten.
Je kunt tot $5.000 per project verdienen en zelfs meer voor top FuzzBench integraties – maar liefst 11.337 dollar, om precies te zijn. Knutsel je graag aan dit soort projecten, kun je geld verdienen door nieuwe sanitizers te integreren in OSS-Fuzz. Je hoeft alleen maar twee legitieme kwetsbaarheden te vinden in een open-source project, en je kunt rekenen op een maximale uitbetaling van 11.337 dollar.
Het programma loopt goed
Fuzz testing, of fuzzing, controleert software automatisch op bugs door willekeurige gegevens te injecteren. Google gebruikt hiervoor OSS-Fuzz, dat code test in ongeveer 700 open-source projecten. Het OSS-Fuzz Reward Program vindt en repareert bugs sinds 2017 en heeft sindsdien meer dan 8.800 kwetsbaarheden en 28.000 bugs in 850 projecten helpen oplossen.
Vorig jaar ontdekte de OSS-Fuzz service een ernstige fout in het TinyGLTF project, dat vertrouwde op de C library functie wordexp() voor paduitbreiding. Tot nu toe heeft het programma 600.000 dollar uitbetaald aan meer dan 65 medewerkers die hielpen nieuwe projecten in OSS-Fuzz te integreren. OSS-Fuzz ondersteunt momenteel C/C++, Go, Rust, Java, Python en Swift en zal binnenkort ook JavaScript fuzzing via Jazzer.js omvatten.
Google lanceerde ook de OpenSSF FuzzIntrospector tool.
De tool geeft inzicht in complexe blokken code en geeft suggesties voor nieuwe fuzz-doelen die verbeterd moeten worden. Bug hunters kunnen deze tool gebruiken om de dekking van een project te vergroten en ontvangen nu een beloning als onderdeel van de OSS-Fuzz Rewards update.
Google’s OSS-Fuzz Rewards is onderdeel van het bredere Patch Rewards Programma van het bedrijf, dat het ontdekken en repareren van beveiligingslekken in open-source software stimuleert. Beide partijen profiteren van dit programma, omdat het helpt bij het vinden van bugs en Google veel geld bespaart. In 2021 betaalden de bug bounty-programma’s van Google in totaal 8,7 miljoen dollar aan beloningen uit, een recordbedrag.
Met een maximale uitbetaling van $30.000 is het een lucratieve kans om bij te dragen aan open-source software en tegelijkertijd je vaardigheden en ervaring een boost te geven.
TIP: Google helpt ontwikkelaars bugs en kwetsbaarheden binnen applicaties op te sporen.
12 uur geleden
