Google、「OSS-Fuzz」の報奨金プログラム拡充 - JavaScriptのサポートも追加へ

Googleは2月1日(米国時間)、Google Security Blog「Taking the next step: OSS-Fuzz in 2023」において、オープンソースのファジングツール「OSS-Fuzz」の報奨金プログラムが拡充されたことをアナウンスした。この拡充によって新しい報奨金タイプが追加されたほか、プロジェクトあたりの合計報奨金額がこれまでの最大2万ドルから最大3万ドルまで引き上げられたという。

OSS-Fuzzは、オープンソースプロジェクトにファズテストを普及させる目的でGoogleが開発し、無料で提供しているファジングツールである。OSS-Fuzzプロジェクトでは単にツールを開発するだけでなく、Core Infrastructure InitiativeやOpenSSFと協力することでさまざまなオープンソースプロジェクトを対象としてファズテストを実施し、脆弱性やバグの発見に貢献してきた。Googleによると、2016年のプロジェクト開始以来、OSS-Fuzzは850のプロジェクトを対象として8,800件以上の脆弱性と28,000個以上のバグの修正に役立ってきたという。