Google は、より多くのオープンソース プロジェクトが開発サイクル中にファジングを取り入れることを望んでおり、その促進を目的として、最高 20,000 ドルの報奨金プログラムを発表した。
現時点では、提供されるサービスは、大規模なユーザーベースを持つプロジェクト、または何らかの形で世界のインフラストラクチャにとって「重要」であると判断されるプロジェクトなど、重要なプロジェクトに限定されています。
この報奨プログラムは、マウンテンビューの OSS-Fuzz プロジェクトの一環として提供されており、このブログ記事によると、この 5 か月間で 47 のプロジェクトで 1,000 件のバグ (247 件の潜在的なセキュリティ脆弱性を含む) が発見されたとのことです。
ファジング報酬は、拡張されたパッチ報酬プログラムに含まれており、「ファジング ターゲットを OSS-Fuzz に統合することに対する報酬を含める」ように設計されています。
最高の報酬率は、Google の「理想的な統合」ガイドライン(詳細はこちら)に準拠したプロジェクトに適用されます。
Google の OSS-Fuzz の投稿には次のように記されています。「理想的な統合報酬を得るには、プロジェクトは次のことを示す必要があります。
- 「ファズ ターゲットはアップストリーム リポジトリにチェックインされ、サニタイザー サポート付きのビルド システムに統合されます (最大 5,000 ドル)」
- 「ファズ ターゲットは効率的で、優れたコード カバレッジ (> 80%) を提供します (最大 5,000 ドル)」
- 「ファズターゲットは、公式の上流開発および回帰テストプロセスの一部であり、メンテナンスされ、古い既知のクラッシュや定期的に更新されるコーパス(最大5,000ドル)に対して実行されます。」
- 「最後の 5,000 ドルは、私たちがさらに努力した、または本当に素晴らしいと感じたプロジェクトに対して、私たちの裁量で報いることのできる「l33t」ボーナスです。」
OSS-Fuzz によって発見されたバグの Google による内訳は以下の通りです。®
