Google стартира грантова програма за намиране на бъгове в JS енджини

2 октомври, 2020

Няма коментари

Google стартира грантова програма за спомагане и спонсориране на проучвания, свързани с изследване на сигурността и уязвимостите на браузъри, базирани на JavaScript енджини. За целта обаче, има едно единствено правило – бъговете да бъдат намирани чрез метода на “fuzz” тестването – изпробване на случайни, невалидни или неочаквани данни като вход в програмата, а след това анализиране на аномалиите. Техниката е широко разпространена в големите технологични компании, но рядко се използва от изследователите по сигурността, които работят самостоятелно, защото fuzzing тестването е изчислително скъпо – изисква големи и скъпи cloud computing ресурси.

Изследователите на сигурността, работещи на свободна практика, обикновено получават възнаграждение месеци след подаването на грешката, а получените средства не е задължително да покриват първоначалните разходи. Поради тази причина Google заявява, че грантовата програма е решение на този проблем и финансовата помощ, която осигурява е безвъзмездна.

Изследователите и академичните среди могат да кандидатстват за средства, като използват fuzzing тестване на JavaScript браузър по техен избор. Отсрещната страна пък – Google – ще анализира всеки подаден проблем и ще отговаря на участниците в срок от две седмици. Одобрените проекти могат да получат финансиране до 5000 долара.

Програмата е в срок 1-ви октомври 2020 – 1-ви октомври 2021 г. и е наречена Fuzzilli Research Grant, също като open source fuzzing инструмента на Google. Всички грешки, идентифицирани по време на пилотната програма, трябва да бъдат докладвани на засегнатите доставчици, като изследователите могат да задържат допълнителните приходи, които получат от намерените бъгове в периода на програмата.

Допустимите JavaScript енджини включват JavaScriptCore (Safari), V8 (Chrome, Edge) и Spiredmonkey (Firefox), но не се изключват и други, които изследователите предложат.
Както е ясно, JS енджините имат ключова роля за браузърите и като резултат на това, са силно уязвими към потенциални заплахи.

Допълнителна информация за Fuzzilli Research Grant можете да намерите тук.