Googleは2月1日(米国時間)、Google Security Blog「Taking the next step: OSS-Fuzz in 2023」において、オープンソースのファジングツール「OSS-Fuzz」の報奨金プログラムが拡充されたことをアナウンスした。この拡充によって新しい報奨金タイプが追加されたほか、プロジェクトあたりの合計報奨金額がこれまでの最大2万ドルから最大3万ドルまで引き上げられたという。
OSS-Fuzzは、オープンソースプロジェクトにファズテストを普及させる目的でGoogleが開発し、無料で提供しているファジングツールである。OSS-Fuzzプロジェクトでは単にツールを開発するだけでなく、Core Infrastructure InitiativeやOpenSSFと協力することでさまざまなオープンソースプロジェクトを対象としてファズテストを実施し、脆弱性やバグの発見に貢献してきた。Googleによると、2016年のプロジェクト開始以来、OSS-Fuzzは850のプロジェクトを対象として8,800件以上の脆弱性と28,000個以上のバグの修正に役立ってきたという。
-
OSS-Fuzzプロジェクトのプロセス概要 引用:https://github.com/google/oss-fuzz
さらにOSS-Fuzzプロジェクトでは、新しいプロジェクトへのOSS-Fuzzの統合などを支援する報奨金プログラム「OSS-Fuzz Reward Program」の運営も行っている。Googleでは今回、この報奨金プログラムに対して2つの新しい報奨金カテゴリを追加し、1カテゴリーあたり最大1万1,337ドルを支払うことを発表した。また、ファジングツールの自動評価ツール「FuzzBench」の統合や、新しいサニタイザーの統合に対しても報奨金が設けられた。
Google Security Blogは、上記の報奨金プログラムの拡充に加えて、OSS-Fuzzの強化にも言及している。 OSS-Fuzzでは現在C/C++、Go、Rust、Java、Python、およびSwiftのプロジェクトをサポートしているが、まもなくこれにJavaScriptのサポートが追加される予定だという。JavaScriptのサポートはJavaScript向けのファジングツールである「Jazzer.js」を介して実現するとのことだ。
