image

Google-fuzzer vindt 1000 bugs in opensourceprojecten

dinsdag 9 mei 2017, 11:18 door Redactie, 7 reacties
Laatst bijgewerkt: 09-05-2017, 12:26

Vijf maanden geleden kondigde Google een nieuw project aan om kwetsbaarheden in veelgebruikte opensourceprojecten te vinden dat inmiddels meer dan 1000 bugs in 47 bekende projecten heeft opgeleverd, waaronder 264 potentiële beveiligingslekken.

OSS-Fuzz, zoals het project wordt genoemd, combineert verschillende fuzzing-engines en draait op een grote gedistribueerde fuzzing-infrastructuur, of "robotleger" zoals Google het zelf noemt, die ook wordt gebruikt voor het vinden van kwetsbaarheden in Chrome. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen.

Via OSS-Fuzz heeft Google sinds december in verschillende belangrijke opensourceprojecten kwetsbaarheden gevonden, zoals FreeType2, FFmpeg, LibreOffice, SQLite, GnuTLS, PCRE2, gRPC, en Wireshark. Opensourceprojecten kunnen zich zelf bij OSS-Fuzz aanmelden, waarna Google de software gaat testen. Als er een bug is gevonden wordt die automatisch aan de opensource-ontwikkelaar gerapporteerd. Als de ontwikkelaar de bug heeft verholpen, wordt dit vervolgens door Google gecontroleerd. 30 dagen nadat de update is gecontroleerd, of 90 dagen nadat de bug is gerapporteerd, wordt het probleem openbaar gemaakt.

Reacties (7)
09-05-2017, 12:57 door Anoniem
Sta toch wel te kijken van al die memory bugs. Daar zijn allengs toch echt wel voldoende goede tools voor om die te voorkomen.
09-05-2017, 13:38 door Anoniem
Door Anoniem: Sta toch wel te kijken van al die memory bugs. Daar zijn allengs toch echt wel voldoende goede tools voor om die te voorkomen.
En dit is jouw reactie op een post die gaat over dat google Test software om juist dat soort fouten optespooren aan bied aan open-source ontwikkelaars zodat deze fouten gevonden worde n en kunneen worden opgelost. (of te wel het gaat juist over de tools die memory bugs opspooren) Overigens zijn echt niet alle memory fouten zo makkelijk te zien. Software schrijven is dus nogsteeds een vak en niet iets wat iedere prutser veilig kan doen. Ik zou de suggestie maken dat je eens eers in die software duikt die jij denkt dat er is, en zelf ervaart hoe goed die zijn in het voorkomen van geheugen fouten.
09-05-2017, 18:50 door Anoniem
'Linux en opensource is superveilig'

Suuure. Maar als dan nauwelijks iemand andermans code gaat doorspitten blijft dit een fabeltje. De meeste mensen blijven gebruikers of admins. De meeste devs zijn weer met hun eigen code bezig.
10-05-2017, 10:07 door [Account Verwijderd] - Bijgewerkt: 10-05-2017, 10:09
[Verwijderd]
10-05-2017, 14:20 door Anoniem
Door Anoniem:
Door Anoniem: Sta toch wel te kijken van al die memory bugs. Daar zijn allengs toch echt wel voldoende goede tools voor om die te voorkomen.
En dit is jouw reactie op een post die gaat over dat google Test software om juist dat soort fouten optespooren aan bied aan open-source ontwikkelaars zodat deze fouten gevonden worde n en kunneen worden opgelost. (of te wel het gaat juist over de tools die memory bugs opspooren) Overigens zijn echt niet alle memory fouten zo makkelijk te zien. Software schrijven is dus nogsteeds een vak en niet iets wat iedere prutser veilig kan doen. Ik zou de suggestie maken dat je eens eers in die software duikt die jij denkt dat er is, en zelf ervaart hoe goed die zijn in het voorkomen van geheugen fouten.

Wat minder hoog van de toren blazen naar iemand toe die meer dan 25 jaar lang software bouwt kan echt geen kwaad hoor.
10-05-2017, 16:05 door Anoniem
Wat minder hoog van de toren blazen naar iemand toe die meer dan 25 jaar lang software bouwt kan echt geen kwaad hoor.
Dus des langer je prutst, des te meer je advies en argumenten als "hoog van de toren blazen" mag kwalificeren?
Laten we bij de inhoud blijven i.p.v. op basis van emoties dingen gaan verdraaien.
10-05-2017, 18:56 door [Account Verwijderd] - Bijgewerkt: 10-05-2017, 18:59
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.