Vijf maanden geleden kondigde Google een nieuw project aan om kwetsbaarheden in veelgebruikte opensourceprojecten te vinden dat inmiddels meer dan 1000 bugs in 47 bekende projecten heeft opgeleverd, waaronder 264 potentiële beveiligingslekken.
OSS-Fuzz, zoals het project wordt genoemd, combineert verschillende fuzzing-engines en draait op een grote gedistribueerde fuzzing-infrastructuur, of "robotleger" zoals Google het zelf noemt, die ook wordt gebruikt voor het vinden van kwetsbaarheden in Chrome. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen.
Via OSS-Fuzz heeft Google sinds december in verschillende belangrijke opensourceprojecten kwetsbaarheden gevonden, zoals FreeType2, FFmpeg, LibreOffice, SQLite, GnuTLS, PCRE2, gRPC, en Wireshark. Opensourceprojecten kunnen zich zelf bij OSS-Fuzz aanmelden, waarna Google de software gaat testen. Als er een bug is gevonden wordt die automatisch aan de opensource-ontwikkelaar gerapporteerd. Als de ontwikkelaar de bug heeft verholpen, wordt dit vervolgens door Google gecontroleerd. 30 dagen nadat de update is gecontroleerd, of 90 dagen nadat de bug is gerapporteerd, wordt het probleem openbaar gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.