گوگل برای یافتن باگ موتورهای جاوااسکریپت بودجه اختصاص میدهد
گوگل بهتازگی برنامهی کمکهزینهی تحقیقاتی جدیدی تدوین کرده است تا به محققان حوزهی امنیت و پژوهشگران دانشگاهی برای پیدا کردن آسیبپذیری در موتورهای جاوااسکریپت (JavaScript) مرورگرهای وب کمک کند. گوگل با حمایت از این محققان در تلاش است نقصهای موجود در موتورهای جاواسکریپت را بهحداقل برساند؛ اهالی مانتینویو میگویند باگهای موردبحث باید ازطریق تکنیکی بهنام فازینگ (Fuzzing) شناسایی شوند.
فازینگ یا آزمایش فاز (Fuzz Testing) نوعی تکنیک است که در آن محققان امنیتی بهمنظور شناسایی باگها، دادههای تصادفی، غیرمعتبر یا غیرمنتظره را بهعنوان دادهی ورودی به درون برنامهای خاص تزریق میکنند و مشغول تحلیل خروجی برای پیدا کردن هرگونه ناهنجاری میشوند. تکنیک فازینگ امروزه بهصورت گسترده در شرکتهای بزرگ حوزهی فناوری (بیگ تک) استفاده میشود، بااینحال محققان امنیتی که برای خودشان کار میکنند علاقهی چندانی به استفاده از فازینگ ندارند. تکنیک فازینگ بسیار پرهزینه است و بهطور معمول برای انجام دادن آن باید به منابع متعدد و گرانقیمت حوزهی رایانش ابری (Cloud Computing) دسترسی داشته باشید.
یکی از روشهای درآمدزایی برای محققان امنیتی این است که جزئیات باگهای شناساییشده را در برنامههای شکار باگ عمومی بهاشتراک بگذارند و جایزهی تعیینشده برای شکار باگ را دریافت کنند. مشکل این است که محققان امنیتی تا چندین ماه پس از شناسایی باگها و ثبت کردن جزئیات آنها در برنامههای شکار باگ عمومی، جایزه را دریافت نمیکنند. بهعلاوه هزینهای که به محقق داده میشود لزوما قرار نیست تمامی هزینههای اولیه را پوشش دهد.
شماری از محققان برای انجام آزمایش فاز، منابع رایانش ابری را اجاره میکنند و برای این کار باید مقدار درخورتوجهی پول بدهند. این موضوع باعث میشود انجام فازینگ برای محققان مستقل ازلحاظ مالی توجیهپذیر نباشد. گوگل پنجشنبهی گذشته اطلاعیهای جدید روی وبلاگ رسمی خود منتشر کرد و گفت برنامهی کمکهزینهی جدیدش را بهطور ویژه برای رفع کردن این مشکل تدوین کرده است. محققان امنیتی و دانشگاهی میتوانند ازطریق برنامهی آزمایشی جدید گوگل درخواست کمکهزینه را ثبت کنند.
محققان سپس میتوانند از کمکهزینهی دریافت شده برای انجام آزمایش فاز در هر موتور جاوااسکریپتی که خودشان بخواهند، استفاده کنند. گوگل میگوید یکایک درخواستها را بهدقت بررسی میکند و در عرض دو هفته به متقاضیان پاسخ میدهد. درخواستهایی که پذیرش شوند ممکن است تا حداکثر ۵٬۰۰۰ دلار بودجه دریافت کنند. گوگل بودجهی موردبحث را در قالب سرویس پرداختی ویژه برای استفاده در موتور رایانشی گوگل (Google Compute Engine)، زیرساخت رایانشی بسیار قدرتمند واحد گوگل کلاد (Google Cloud) ارائه میدهد؛ گوگل با این کار مطمئن میشود بودجهای که دراختیار محققان قرار میدهد مورد سوءاستفاده قرار نمیگیرد.
برنامهی اعطای کمکهزینهی تحقیقاتی به محققان امنیتی، برنامهی آزمایشی ویژهای است که از یکم اکتبر ۲۰۲۰ (۱۰ مهر ۱۳۹۹) آغازبهکار کرده و قرار است تا یکم اکتبر ۲۰۲۱ (۹ مهر ۱۴۰۰) ادامه داشته باشد. گوگل ابزاری متنباز با نام Fuzzilli دارد که برای انجام آزمایش فاز از آن استفاده میشود؛ اهالی مانتینویو بهخاطر همین ابزار، نام برنامهی کمکهزینهی جدید خود را «کمکهزینهی تحقیقاتی فازیلی» (Fuzzilli Research Grant) گذاشتهاند. ابزار فازیلی برای انجام آزمایش فاز در موتورهای رایانشی گوگل استفاده میشود و خود گوگل محققان را به استفاده از آن تشویق میکند.
گوگل میگوید تمامی باگهایی که در جریان برگزاری برنامهی آزمایشی جدید پیدا میشوند باید به شرکتهایی که از آنها متأثر شدهاند اطلاع داده شوند. همچنین محققان میتوانند پرداختهای اضافی مربوط به شکار باگ را در طول برنامهی کمکهزینهی تحقیقاتی فازیلی برای خودشان نگه دارند. موتورهای جاوااسکریپتی که توسط برنامهی جدید گوگل پوشش داده میشوند شامل JavaScriptCore (در سافاری) و V8 (در کروم و مایکروسافت اج) و Spidermonkey (در فایرفاکس) هستند. بااینحال محققان امنیتی میتوانند در درخواستی که برای دریافت بودجه ثبت میکنند، جزئیات موتورهای دیگر را هم بنویسند تا توسط گوگل بررسی شود.
موتورهای جاوااسکریپت بخشی جدانشدنی از مرورگرهای وب مدرن هستند. نقش اصلی آنها، خواندن فایلها یا کدهای جاوااسکریپتی است که مرورگر از وبسایتها دریافت میکند. موتورهای جاوااسکریپت سپس باید کدهای دریافتی را تفسیر کنند و به دیگر بخشهای مرورگر آموزش دهند که نتایج (شامل صفحهی وب و انیمیشنها و افزونههای مرورگر و...) را چگونه رندر کنند. موتورهای جاوااسکریپت نقش بسیار مهمی در مرورگرهای وب دارند و بههمین دلیل است که احتمال حمله به آنها توسط هکرها بسیار زیاد است.
شما کاربران زومیت چه دیدگاهی دربارهی پروژهی جدید گوگل دارید؟