گوگل برای یافتن باگ‌ موتورهای جاوااسکریپت بودجه اختصاص می‌دهد

گوگل برای یافتن باگ‌ موتورهای جاوااسکریپت بودجه اختصاص می‌دهد

«کمک‌هزینه‌ی تحقیقاتی فازیلی» پروژه‌ی جدید گوگل برای اعطای بودجه به محققان امنیتی است تا این محققان از تکنیک فازینگ برای شناسایی آسیب‌پذیری موتورهای جاوااسکریپت مرورگرها استفاده کنند.

گوگل به‌تازگی برنامه‌ی کمک‌هزینه‌ی تحقیقاتی جدیدی تدوین کرده است تا به محققان حوزه‌ی امنیت و پژوهشگران دانشگاهی برای پیدا کردن آسیب‌پذیری در موتورهای جاوااسکریپت (JavaScript) مرورگرهای وب کمک کند. گوگل با حمایت از این محققان در تلاش است نقص‌های موجود در موتورهای جاواسکریپت را به‌حداقل برساند؛ اهالی مانتین‌ویو می‌گویند باگ‌های موردبحث باید ازطریق تکنیکی به‌نام فازینگ (Fuzzing) شناسایی شوند.

فازینگ یا آزمایش فاز (Fuzz Testing) نوعی تکنیک است که در آن محققان امنیتی به‌منظور شناسایی باگ‌‌ها، داده‌های تصادفی، غیرمعتبر یا غیرمنتظره را به‌عنوان داده‌ی ورودی به درون برنامه‌ای خاص تزریق می‌کنند و مشغول تحلیل خروجی برای پیدا کردن هرگونه ناهنجاری می‌شوند. تکنیک فازینگ امروزه به‌صورت گسترده در شرکت‌های بزرگ حوزه‌ی فناوری (بیگ تک) استفاده می‌شود، بااین‌حال محققان امنیتی که برای خودشان کار می‌کنند علاقه‌ی چندانی به استفاده از فازینگ ندارند. تکنیک فازینگ بسیار پرهزینه است و به‌طور معمول برای انجام دادن آن باید به منابع متعدد و گران‌قیمت حوزه‌ی رایانش ابری (Cloud Computing) دسترسی داشته باشید. 

یکی از روش‌‌های درآمدزایی برای محققان امنیتی این است که جزئیات باگ‌های شناسایی‌شده را در برنامه‌های شکار باگ عمومی به‌اشتراک بگذارند و جایزه‌ی تعیین‌شده برای شکار باگ را دریافت کنند. مشکل این است که محققان امنیتی تا چندین ماه پس از شناسایی باگ‌‌ها و ثبت کردن جزئیات آن‌ها در برنامه‌های شکار باگ عمومی، جایزه را دریافت نمی‌کنند. به‌علاوه هزینه‌ای که به محقق داده می‌شود لزوما قرار نیست تمامی هزینه‌های اولیه‌ را پوشش دهد.

شماری از محققان برای انجام آزمایش فاز، منابع رایانش ابری را اجاره می‌کنند و برای این کار باید مقدار درخورتوجهی پول بدهند. این موضوع باعث می‌شود انجام فازینگ برای محققان مستقل ازلحاظ مالی توجیه‌پذیر نباشد. گوگل پنج‌شنبه‌ی گذشته اطلاعیه‌ای جدید روی وبلاگ رسمی خود منتشر کرد و گفت برنامه‌ی کمک‌هزینه‌ی جدیدش را به‌طور ویژه برای رفع کردن این مشکل تدوین کرده است. محققان امنیتی و دانشگاهی می‌توانند ازطریق برنامه‌ی آزمایشی جدید گوگل درخواست کمک‌هزینه را ثبت کنند.

محققان سپس می‌توانند از کمک‌هزینه‌ی دریافت شده برای انجام آزمایش فاز در هر موتور جاوااسکریپتی که خودشان بخواهند، استفاده کنند. گوگل می‌گوید یکایک درخواست‌ها را به‌دقت بررسی می‌کند و در عرض دو هفته به متقاضیان پاسخ می‌دهد. درخواست‌هایی که پذیرش شوند ممکن است تا حداکثر ۵٬۰۰۰ دلار بودجه دریافت کنند. گوگل بودجه‌ی موردبحث را در قالب سرویس پرداختی ویژه برای استفاده در موتور رایانشی گوگل (Google Compute Engine)، زیرساخت رایانشی بسیار قدرتمند واحد گوگل کلاد (Google Cloud) ارائه می‌دهد؛ گوگل با این کار مطمئن می‌شود بودجه‌ای که دراختیار محققان قرار می‌دهد مورد سوءاستفاده قرار نمی‌گیرد. 

برنامه‌ی اعطای کمک‌هزینه‌ی تحقیقاتی به محققان امنیتی، برنامه‌ی آزمایشی ویژه‌ای است که از یکم اکتبر ۲۰۲۰ (۱۰ مهر ۱۳۹۹) آغازبه‌کار کرده و قرار است تا یکم اکتبر ۲۰۲۱ (۹ مهر ۱۴۰۰) ادامه داشته باشد. گوگل ابزاری متن‌باز با نام Fuzzilli دارد که برای انجام آزمایش فاز از آن استفاده می‌شود؛ اهالی مانتین‌ویو به‌خاطر همین ابزار، نام برنامه‌ی کمک‌هزینه‌ی جدید خود را «کمک‌هزینه‌ی تحقیقاتی فازیلی» (Fuzzilli Research Grant) گذاشته‌اند. ابزار فازیلی برای انجام آزمایش فاز در موتورهای رایانشی گوگل استفاده می‌شود و خودِ گوگل محققان را به استفاده از آن تشویق می‌کند.

گوگل می‌گوید تمامی باگ‌هایی که در جریان برگزاری برنامه‌ی آزمایشی جدید پیدا می‌شوند باید به شرکت‌هایی که از آن‌ها متأثر شده‌اند اطلاع داده شوند. همچنین محققان می‌توانند پرداخت‌های اضافی مربوط به شکار باگ را در طول برنامه‌ی کمک‌هزینه‌ی تحقیقاتی فازیلی برای خودشان نگه دارند. موتورهای جاوااسکریپتی که توسط برنامه‌ی جدید گوگل پوشش داده می‌شوند شامل JavaScriptCore (در سافاری) و V8 (در کروم و مایکروسافت اج) و Spidermonkey (در فایرفاکس) هستند. بااین‌حال محققان امنیتی می‌توانند در درخواستی که برای دریافت بودجه ثبت می‌کنند، جزئیات موتورهای دیگر را هم بنویسند تا توسط گوگل بررسی شود. 

موتورهای جاوااسکریپت بخشی جدانشدنی از مرورگرهای وب مدرن هستند. نقش اصلی آن‌‌ها، خواندن فایل‌ها یا کدهای جاوااسکریپتی است که مرورگر از وب‌سایت‌ها دریافت می‌کند. موتورهای جاوااسکریپت سپس باید کدهای دریافتی را تفسیر کنند و به دیگر بخش‌های مرورگر آموزش دهند که نتایج (شامل صفحه‌ی وب و انیمیشن‌ها و افزونه‌های مرورگر و...) را چگونه رندر کنند. موتورهای جاوااسکریپت نقش بسیار مهمی در مرورگرهای وب دارند و به‌همین دلیل است که احتمال حمله‌ به آن‌ها توسط هکرها بسیار زیاد است. 

شما کاربران زومیت چه دیدگاهی درباره‌ی پروژه‌ی جدید گوگل دارید؟


منبع zdnet

از سراسر وب

  دیدگاه
کاراکتر باقی مانده

بیشتر بخوانید