简介为了鼓励发现开源软件中的漏洞，Google 将OSS-Fuzz 奖励计划的奖励金额提高到30,000 美元。现在，该计划已经发展壮大，单个项目集成的最高支付金额为鼓励发现开源软件中的漏洞，谷歌已将OSS-Fuzz 赏金计划的奖励金额增加至30,000 美元。

现在，该计划已经发展壮大，单个项目集成的最高支付额从20,000 美元增加到30,000 美元。

OSS-Fuzz 的目标是鼓励在开源项目中使用模糊测试，并且添加新的奖励类别将鼓励开发进一步的方法来集成这些项目。

Google 为OSS-Fuzz 添加了两项新奖励，以鼓励广泛改进。每个价格范围的最高价格为11,337 美元。此外，还添加了新的清理器或“错误检测器”来帮助查找漏洞，以及著名的FuzzBench 模糊器。

通过加强对安全研究人员和开源维护人员的激励，Google OSS-Fuzz 团队“希望加速将重要开源项目集成到OSS-Fuzz 中”，团队成员Oliver Chang 表示。

据谷歌称，自2016 年以来，在OSS-Fuzz 的努力下，已经解决了超过85 万个漏洞和8,800 个开源项目。到2021 年底，大约有500 个项目被解决。这些范围从许多其他开源项目使用的库到最终用户的独立应用程序。

研究人员可以使用在线代码测试服务OSS-Fuzz 进行“模糊测试”，这是一种用于查找漏洞（包括程序崩溃和内存泄漏）的自动化软件测试技术。

Google OSS-Fuzz 团队详细介绍了该计划明年的计划。其中包括添加对用多种语言编写的项目的支持。

例如，就在去年9 月，OSS-Fuzz 被用来发现C++ 库TinyGLTF 中的严重缺陷。在问题得到解决之前，该漏洞可能允许攻击者在依赖该库的程序中执行代码。虽然该库本身是用C++ 开发的，但谷歌当时强调，该漏洞可能会影响任何编程语言，从而验证了该公司的模糊测试方法，该方法此前仅用于C 和C++ 代码。 Chromium、Linux 内核、Windows、Android 和许多其他平台只是几个例子。

用Google自己的话来说：像Go、Rust、Python和Java这样的内存安全语言都受到OSS-Fuzz的支持，OSS-Fuzz用于查找这些语言中的bug。此外，由于与应用程序安全测试公司Code Intelligence 合作，OSS-Fuzz 很快将支持使用Jazzer.js 进行JavaScript 模糊测试。

OSS-Fuzz 引入了对C/C++、Python 和Java 项目的支持，Google 还将OpenSSF 的FuzzIntrospector 集成到OSS-Fuzz 中，以学习如何进行模糊测试和范围分析以提高OSS 效率。