谷歌計劃增加對JAVASCRIPT模糊測試的支持

為了鼓勵發現開源軟件中的漏洞，谷歌將OSS-Fuzz獎勵計劃的獎勵金額增加到30，000美元。

現在，該計劃已經發展壯大，單個項目集成的最高支出已從 20，000 美元增加到 30，000 美元。

OSS-Fuzz的目標是鼓勵在開源項目中使用模糊測試，增加新的獎勵類別將鼓勵開發進一步的方法來集成這些項目。

Google為OSS-Fuzz添加了兩種新的獎勵，以鼓勵廣泛的改進。它在每個價格范圍內的最高價格為 11，337 美元。此外，還加入了有助于發現漏洞的新清理器或“錯誤檢測器”，以及包括著名的FuzzBench模糊器。

通過加強對安全研究人員和開源維護者的激勵，Google OSS-Fuzz團隊“希望加快將重要的開源項目整合到OSS-Fuzz中，”團隊成員Oliver Chang說。

據谷歌稱，自 850 年以來，由于 OSS-Fuzz 的努力，8800 個開源項目已經解決了 28 多個漏洞和 000，2016 個問題。截至 500 年底，納入了大約 2021 個項目。這些范圍從許多其他開源項目使用的庫到最終用戶的獨立應用程序。

研究人員可以使用在線代碼測試服務OSS-Fuzz進行“模糊測試”，這是一種自動化軟件測試技術，用于發現漏洞，包括程序崩潰和內存泄漏。

Google OSS-Fuzz團隊詳細介紹了該計劃明年的計劃。其中包括增加對用多種語言編寫的項目的支持。

例如，在剛剛過去的九月，OSS-Fuzz被用來發現C++庫TinyGLTF中的一個嚴重缺陷。在解決該問題之前，該漏洞可能使攻擊者能夠在依賴該庫的程序中執行代碼。雖然該庫本身是在C++年開發的，但谷歌當時強調，該漏洞可能會影響任何編程語言，這驗證了該公司的模糊測試方法，該方法以前僅用于C和C++代碼。Chromium，Linux內核，Windows，Android和許多其他平臺只是其中的幾個例子。

用谷歌自己的話說：像Go，Rust，Python和Java這樣的內存安全語言都由OSS-Fuzz支持，OSS-Fuzz用于查找這些語言中的錯誤。此外，OSS-Fuzz很快將支持使用Jazzer的JavaScript模糊測試.js這要歸功于與應用程序安全測試公司Code Intelligence的合作。

OSS-Fuzz引入了對C/C++、Python和Java項目的支持，Google還將OpenSSF的FuzzIntrospector整合到OSS-Fuzz中，以學習如何提高OSS效率的Fuzz和范圍。