Google zachęca deweloperów do wyszukiwania w przeglądarkach luk

Ci specjaliści do spraw bezpieczeństwa, który pracują na własną rękę wiedzą dobrze, że nawet wtedy gdy uda się im znaleźć błąd w analizowanej aplikacji czy usłudze, jest jeszcze bardzo długa droga do tego, aby liczyć na jakiekolwiek wynagrodzenie z tego tytułu. I to właśnie spowodowało, że Google zdecydowało się zainicjować program, który będzie wspierał takich deweloperów.

Firma przyjęła jednak zasadę, że wszystkie błędy znajdujące się w silnikach zostały wykryte przy użyciu technologii „fuzzingu”. Jest specyficznego rodzaju technika wykrywania błędów. Polega ona na wysyłaniu (najczęściej robią to automaty) do testowanego rozwiązania IT generowanych losowo danych wejściowych i analizowania, czy są one przez nie prawidłowo przetwarzane i nie wywołują niepożądanych reakcji, np. powodują, że program ulega awarii.

Zobacz również:

Google zapewnia, że będzie analizować każde bez wyjątku zgłoszenie i niezależnie od tego czy zostanie ono uznane za prawidłowe (to znaczy firma przyzna, że jest to rzeczywiście podatność), czy też odrzucone, odpowie każdemu deweloperowi w czasie nie dłuższym niż dwa tygodnie. Ci deweloperzy, których zgłoszenie zostanie zaakceptowane, mogą liczyć na wsparcie finansowe w wysokości do 5 tys. USD.

Pilotażowy program grantów wspierających niezależnych deweloperów (któremu Google nadało nazwę Fuzzilli Research Grant) został zainicjowany w zeszłym tygodniu 1-go października i będzie obowiązywać przez rok, czyli zakończy się 1-go października 2021 roku. Google oczekuje, że deweloperzy zajmą się przede wszystkim takimi silnikami, jak JavaScript Core (Safari), V8 (Chrome, Edge) i Spidermonkey (Firefox), jednak podda również analizie każdą zgłoszoną podatność wykrytą w innych silnikach.

Szczegółowe zasady programu Fuzzilli Research Grant znajdują się tutaj.

Zgłoś naruszenie/Błąd