Még szélesebb kört vonna be a Mozilla a Firefox tesztelésébe. Elindították az ASan Nightly projektet, amelynek célja, hogy a Firefox önállóan is tudjon keresni biztonsági réseket saját kódjában. Bár a kódvadászat itt automatizált, a megtalált hibákért mégis fizet a Firefox – elvégre a kiegészítő használja a felhasználó gépének az erőforrásait, ráadásul nem is keveset.

Memóriahibákat keres

A fejlesztéseknél nem újdonság az automatizált tesztelés. Lényegében ezt fejlesztette tovább a Mozilla a Firefox esetében. A böngészőnek elkészítették egy speciális kiadását (a Mozilla terminológiája szerint nightly, a béta előtti tesztfázis), amelybe beépítették egy több éve használt belső teszteszközüket, az AddressSanitizert, rövidítve: ASan. Ez különböző memóriahibák (ún. User After Free sebezhetőség, puffertúlcsordulási hibák, memóriaszivárgás stb.) detektálására alkalmas C/C++ kódban.

Az ASan Nightlyval talált sérülékenységekre ugyanazok a szabályok vonatkoznak, mint a Mozilla Bug Bounty programjának keretében bejelentett egyéb módon talált hibákra: korábban más által még nem jelentett és távolról is kihasználható biztonsági rések felfedezését jutalmazzák. Mindig hiba után fizetnek, így ha többen jelentik egy időben ugyanazt a biztonsági rést, akkor a jutalmat megosztva kapják.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »

A szerencséseknek alapvetően jól fizet az automatikus hibavadászat, de nem automatikusan. A díj odaítéléséről és mértékéről ugyanis a Mozilla Bounty Committee dönt. Az originális kritikus és súlyos rések 3000 és 7500 dollár közötti összeget érnek, az alcsonyabb veszélyességi szintű, kisebb sérülékenységekért pedig 500 és 2000 dollár között lehet kapni. Azoknak, akik részt szeretnének venni az automatikus tesztelésben, és számítanak a jutalomra is, az azonosításukhoz be kell állítaniuk a böngésző about:config oldalán az asanreporter.clientid esetében a saját emailcímüket (a beállításokról itt olvashatnak).

Extra erőforrásokért jár a díj

A Mozilla felhívja a figyelmet arra, hogy a Firefox ASan Nightly-féle kiadásának használatáért a felhasználónak áldozatot is kell vállalnia. A hibakereső modul ugyanis alaposan megdobja a böngésző memóriaigényét. És nem is kicsit: a közlemény szerint csak olyan gépen érdemes próbálkozni az ASan Nightlyval, amelyben legalább 16 gigabájt memória van. De még ilyen memóriamennyiség mellett is érdemes akár többször is újraindítani a böngészőt egy munkanapon.

Az ASan Nightly Firefox egyelőre csak Linuxon érhető el, de már dolgoznak a Windowsra és macOS-re szánt változatokon is.