Google zachęca deweloperów do wyszukiwania w przeglądarkach luk
-
- Janusz Chustecki,
- 05.10.2020, godz. 11:40
Firma namawia wszystkich deweloperów i specjalistów do spraw bezpieczeństwa do wyszukiwania podatność znajdujących się w silnikach Java obsługujących przeglądarki. Właśnie dlatego uruchomiła program grantów, w ramach którego będzie wspierać finansowo te osoby, którzy znajdą taką lukę.
![Google zachęca deweloperów do wyszukiwania w przeglądarkach luk](/g1/news/thumbnails/3/3/337372_zzz_png_80_resize_830x162.webp)
Ci specjaliści do spraw bezpieczeństwa, który pracują na własną rękę wiedzą dobrze, że nawet wtedy gdy uda się im znaleźć błąd w analizowanej aplikacji czy usłudze, jest jeszcze bardzo długa droga do tego, aby liczyć na jakiekolwiek wynagrodzenie z tego tytułu. I to właśnie spowodowało, że Google zdecydowało się zainicjować program, który będzie wspierał takich deweloperów.
Firma przyjęła jednak zasadę, że wszystkie błędy znajdujące się w silnikach zostały wykryte przy użyciu technologii „fuzzingu”. Jest specyficznego rodzaju technika wykrywania błędów. Polega ona na wysyłaniu (najczęściej robią to automaty) do testowanego rozwiązania IT generowanych losowo danych wejściowych i analizowania, czy są one przez nie prawidłowo przetwarzane i nie wywołują niepożądanych reakcji, np. powodują, że program ulega awarii.
Zobacz również:
- Antydron w usłudze - nowy sposób na zabezpieczenie infrastruktury krytycznej
- Chrome będzie dalej tolerować ciasteczka
Google zapewnia, że będzie analizować każde bez wyjątku zgłoszenie i niezależnie od tego czy zostanie ono uznane za prawidłowe (to znaczy firma przyzna, że jest to rzeczywiście podatność), czy też odrzucone, odpowie każdemu deweloperowi w czasie nie dłuższym niż dwa tygodnie. Ci deweloperzy, których zgłoszenie zostanie zaakceptowane, mogą liczyć na wsparcie finansowe w wysokości do 5 tys. USD.
Pilotażowy program grantów wspierających niezależnych deweloperów (któremu Google nadało nazwę Fuzzilli Research Grant) został zainicjowany w zeszłym tygodniu 1-go października i będzie obowiązywać przez rok, czyli zakończy się 1-go października 2021 roku. Google oczekuje, że deweloperzy zajmą się przede wszystkim takimi silnikami, jak JavaScript Core (Safari), V8 (Chrome, Edge) i Spidermonkey (Firefox), jednak podda również analizie każdą zgłoszoną podatność wykrytą w innych silnikach.
Szczegółowe zasady programu Fuzzilli Research Grant znajdują się tutaj.