グーグル、「OSS-Fuzz」の報酬プログラム拡充とJavaScriptへの対応を発表

今回は「グーグル、「OSS-Fuzz」の報酬プログラム拡充とJavaScriptへの対応を発表」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Googleは米国時間2月1日、同社のファジングツール「OSS-Fuzz」の報酬プログラムである「OSS-Fuzz Reward Program」を拡充したと発表した。このプログラムは、大規模なユーザーベースを有する、あるいは世界のITインフラに重大な影響を及ぼすオープンソースプロジェクトにファズターゲットの統合を促すための報奨金制度だ。

 今回新たに報奨金タイプが追加されるとともに、プロジェクトあたりの合計報奨金額が最大3万ドル(約390万円)に引き上げられた。プロジェクト1件あたりの合計報奨金額はこれまで最大2万ドル(約260万円)だった。

 OSS-Fuzzの目的は、オープンソースプロジェクトによるファジングテストの採用を支援することであり、新たな報奨金タイプは、プロジェクトの新しい統合方法を生み出す人々を支援する目的を持つ。

 またGoogleは今回、すべてのOSS-Fuzzプロジェクトを対象とし、幅広い改善に報いるための2つの報奨カテゴリーを新設した。1カテゴリーあたり最大1万1337ドル(約146万円)の報奨金が支払われる。そして、ファジングツールの自動評価ツール「FuzzBench」の大幅な統合や、脆弱性の発見を支援する新たなサニタイザー、すなわち「バグディテクター」の統合にも報奨金が用意された。

 GoogleのOSS-Fuzzチームに所属するOliver Chang氏は「セキュリティリサーチャーやオープンソースのメンテナーに、より強力なインセンティブを与えることで、重要なオープンソースプロジェクトのOSS-Fuzz(エコシステム)への統合を加速させたいとわれわれは願っている」と説明している。

 同社によると、Open-Fuzzは2016年以来、850ものオープンソースプロジェクトにおいて、8800件を超える脆弱性と2万8000件を超えるバグの修正を支援してきたという。2021年12月時点でOSS-Fuzzを利用しているプロジェクトの総数は500以上だった。こうしたプロジェクトには、エンドユーザープログラムから、さまざまなOSSプロジェクトで用いられているライブラリーも含まれている。

 OSS-Fuzzは、「ファジング」と呼ばれるテストをリサーチャーらが遂行できるようにするためのコードテスティングサービスだ。ファジングとは、セキュリティ上の欠陥を示唆するプログラムのクラッシュやメモリーリークを発生させるための、自動化されたソフトウェアテストを指す。

 GoogleのOSS-Fuzzチームは、間もなくサポートするプロジェクトの対象言語をJavaScriptにも拡大すると述べた。

 例を挙げると、「C++」で記述された「TinyGLTF」というライブラリーに存在していた深刻なバグの発見にもOSS-Fuzzが用いられた。このバグが修正されるまで、同ライブラリーに依存しているプロジェクトは攻撃者によって任意のコードを実行される危険にさらされていた。Googleは2022年9月にブログで、同ライブラリーの記述言語はC++だったが、このようなバグはあらゆるプログラミング言語に存在し得るとして、ファジングというアプローチの利点と必要性を指摘していた。こういったプログラムには、「Chromium」や「Linux」カーネル、「Windows」「Android」など多数のものが含まれている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ポケモンGOで1時間の「ミニリュウ」大量発生、11日に レイドには「ヤンチャム」登場
くらテク
2021-05-12 18:06
阪急阪神HD、AI活用で契約審査時間を3分の2に–法律知識の底上げや教育効果も
IT関連
2022-05-03 17:37
セキュリティルールの「守らせる vs 守る」を早くやめるべき–ガートナー
IT関連
2023-08-12 00:56
「シン・エヴァ」関係者への脅迫に「強く抗議」 カラー「海外でも通報する」
くらテク
2021-05-15 11:22
アニメ「鬼滅の刃」2期、年内のテレビ放映が決定 「こっからはド派手に行くぜ」
くらテク
2021-02-15 10:37
Amazonがモバイルゲームのビデオクリップを共有するGameOnアプリをiOSでもローンチ
ゲーム / eSports
2021-03-04 14:22
「ソーシャルイノベーション企業」を目指すNTT東日本社長の熱い思いとは
IT関連
2023-02-11 07:21
エヌビディア、生成AIの繁栄支えるコンピューティング基盤を解説
IT関連
2023-07-25 17:19
マテリアルデザインを簡潔に記述できる「Jetpack Compose」がバージョン1.0に到達、本番環境で安心して利用可能に
Android
2021-08-04 01:13
4月は日銀のETF買いなし–上がるも下がるも外国人次第の日本株に逆戻り
IT関連
2021-04-14 09:57
稲畑産業、インテル「RealSense」代替品となる3Dセンサー「LIPSedge」シリーズを発売へ―台湾LIPSが開発
IT関連
2022-03-05 00:50
UQコミュニケーションズ、基地局建設業務システムの本番/DR環境をクラウド化–運用コストを25%削減
IT関連
2023-06-30 02:11
シスコ、「エコシステム パートナープログラム」を創設–日本社会のDXに貢献
IT関連
2022-07-30 03:18
STORES 予約を活用した「ワクチン接種予約システム」をANA、損保ジャパン、近畿大学などが採用
ネットサービス
2021-06-15 14:13