En décembre dernier, Google a initié le programme OSS-Fuzz, une plateforme visant à tester la sécurité des programmes open source, à l’aide d’outils automatiques, en utilisant la technique du « fuzzing ». Celle-ci consiste à fournir à un programme des données invalides ou aléatoires afin de surveiller son fonctionnement. Depuis lors, plus de 1000 bogues et failles (débordement de tampon, timeout, fuites de données notamment) ont été découverts dans les 47 projets qui ont rejoint OSS-Fuzz. C’est dire si ce programme est utile.

Afin d’encourager plus de projets à rejoindre OSS-Fuzz et à sécuriser leurs logiciels, à l’aide des tests automatique et de la technique de fuzzing que Google voudrait développer, des récompenses seront offertes. Elles vont aller de 920 à 18.380 € suivant l’intégration à OSS-FUZZ.

