Money Tree Browser yang Menyediakan Bug Bounty untuk Chromium

 (lyra.horse)
2 poin oleh GN⁺ 2024-01-07 | 1 komentar | Bagikan ke WhatsApp

Pengenalan Chromium Money Tree Browser

  • Chromium Money Tree Browser adalah situs web yang mengaitkan imbalan Chrome VRP (program bug bounty) dengan perubahan (perbaikan) pada file tertentu.
  • Situs ini dibuat dengan sangat sederhana, sehingga sebaiknya tidak berharap banyak pada pengalaman pengguna maupun akurasi datanya.
  • Bug bounty dibagi per file; misalnya, jika perbaikan bug senilai $1000 melibatkan perubahan pada 5 file, maka tiap file dialokasikan $200.
  • Data didasarkan pada informasi hingga awal November 2023.

Opini GN⁺

  • Chromium Money Tree Browser adalah alat yang menarik bagi developer dan peneliti keamanan karena menampilkan secara visual file-file mana yang diubah dalam program bug bounty Chrome, serta bagaimana imbalannya didistribusikan.
  • Situs ini memberikan wawasan tentang bagaimana imbalan untuk perbaikan bug dihitung, dan dapat membantu berbagi informasi yang berguna di komunitas terkait keamanan.
  • Meski ekspektasi terhadap pengalaman pengguna atau akurasi data perlu direndahkan, situs ini dapat berkontribusi dalam meningkatkan kesadaran terhadap kerentanan keamanan pada proyek open source dan mendorong developer untuk menempatkan keamanan sebagai prioritas yang lebih tinggi.

Bacaan terkait

1 komentar

 
GN⁺ 2024-01-07
Komentar Hacker News

  • Ketertarikan pada sesuatu yang mirip dengan fitur yang sudah lama ingin dibangun oleh pengembang

    • Renungan tentang kegunaan metode untuk menghitung kemungkinan sebuah perubahan tertentu menimbulkan masalah, berdasarkan perubahan-perubahan yang pernah terjadi sebelumnya pada file atau bagian tertentu dari file.
    • Memberi skor risiko pada setiap perubahan, lalu mengaitkan skor ini ke PR (Pull Request) untuk memberi tahu peninjau kode tentang kode yang memerlukan perhatian ekstra, serta memanfaatkannya sebagai sinyal untuk menyorot perubahan berisiko saat rilis.
    • Sulit untuk melacak bagian kode yang sama ketika kode bergeser ke atas atau ke bawah akibat penyisipan/penghapusan. Algoritme yang hanya berbasis nomor baris bisa bermasalah.
    • Menunjukkan bahwa pekerjaan yang dilakukan pada tingkat file saja pun bisa cukup berguna.

  • Penunjukan bahwa ada perbaikan yang terlewat pada pustaka pihak ketiga tertentu

    • Tampaknya beberapa perbaikan pada pustaka pihak ketiga (misalnya ffmpeg) terlewat. Perbaikan seperti ini sering kali ditangani lebih dulu di hulu sehingga sulit dilacak.

  • Sambil melihat banyak bug di UI browser Chrome, muncul pemikiran tentang masalah use-after-free pada data yang kinerja pengelolaan memori manualnya tidak penting

    • Pengamatan tentang masalah use-after-free yang terjadi meskipun kinerja pengelolaan memori manual tidak penting, pada kode seperti siklus hidup dialog "pemilihan file".
    • Menunjukkan bahwa pada kode seperti ini, mungkin selalu lebih baik menggunakan pointer yang lebih cerdas namun lebih lambat.
    • Disebutkan bahwa tipe seperti raw_ptr<T> tampaknya dimaksudkan untuk membantu, dan mungkin memang berhasil mencegah crash yang terjadi di [2].
    • Disayangkan bahwa tidak ada cara untuk beralih di dalam proyek antara dialek yang berbeda untuk kode yang sensitif terhadap performa dan kode yang tidak terlalu perlu mempertimbangkan performa.
    • Pemikiran tentang apakah hampir sepadan untuk mencampur dua bahasa berbeda agar dapat dengan jelas membedakan bagian yang sensitif terhadap performa dan bagian yang punya banyak status asinkron sehingga besar kemungkinan terjadi kesalahan.

  • Pujian atas efektivitas visualisasi dan catatan tentang penggunaan CPU

    • Visualisasinya sangat rapi, dengan catatan bahwa penggunaan CPU agak tinggi saat area diperbesar.
    • Ada harapan bahwa tim Chrome menggunakan alat serupa secara internal, dan pendapat bahwa ini akan berguna untuk memahami permukaan serangan.

  • Pujian atas ide dan eksekusi serta pertanyaan tentang data mentah

    • Pujian bahwa idenya keren dan eksekusinya juga bagus.
    • Menyinggung apakah ada akses ke data mentah dan apakah layak mencoba sunburst atau tree map.

  • Usulan agar tidak menyertakan jenis file tertentu

    • Catatan rinci yang menyarankan untuk tidak menyertakan file DEPS, AUTHORS, dan BUILD.gn.

  • Usulan pemberian bobot berdasarkan jumlah baris kode yang diubah

    • Pendapat bahwa akan menarik untuk memberi bobot pada 'uang' yang dialokasikan ke bug berdasarkan jumlah baris kode yang diubah.
    • Usulan bahwa jika 10 baris di file A dan 1 baris di file B diubah, maka file A menerima 1/11 dari 'uang' tersebut karena menyumbang sebagian besar bug.

  • Permintaan fitur untuk menampilkan rata-rata imbalan per file

    • Permintaan fitur untuk menampilkan rata-rata imbalan per file pada setiap node.

  • Ide tentang tampilan jumlah yang dinormalisasi berdasarkan jumlah baris kode

    • Usulan versi yang menampilkan jumlah uang yang dinormalisasi berdasarkan jumlah baris kode.

  • Pujian atas wawasan visual tentang area yang perlu difokuskan

    • Penilaian bahwa memberikan wawasan visual tentang ke mana upaya harus difokuskan adalah hal yang sangat keren.