image

Google-fuzzer vindt 9.000 bugs in opensourcesoftware

woensdag 7 november 2018, 11:04 door Redactie, 7 reacties

Google heeft de afgelopen 2 jaar via een eigen fuzzer meer dan 9.000 bugs in opensourcesoftware gevonden en aan de betreffende ontwikkelaars gerapporteerd. OSS-Fuzz, zoals de fuzzer wordt genoemd, combineert verschillende fuzzing-engines en draait op een grote gedistribueerde fuzzing-infrastructuur.

Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. In het geval van de bugs die Google vond en rapporteerde ging het zowel om beveiligingslekken als stabiliteitsproblemen.

Naast OSS-Fuzz gebruikt Google ook verschillende interne tools om bugs in zowel de eigen als opensourcecode te vinden. Voorheen werden gevonden problemen handmatig bij het betreffende opensourceproject gemeld. Dit proces was echter vrij complex, aldus Google. Daarom gaat de internetgigant nu alle fuzzingtools verenigen en automatiseren.

Opensourceprojecten die binnen OSS-Fuzz geïntegreerd worden zullen straks zowel door interne als externe fuzzingtools van Google worden bekeken. Dit moet ervoor zorgen dat bugs sneller worden gevonden. De komende weken gaat Google verschillende belangrijke opensourceprojecten benaderen of ze OSS-Fuzz binnen hun project willen integreren. Om opensourceprojecten bij de integratie te helpen biedt Google een bedrag van tussen de 1.000 en 20.000 dollar.

Reacties (7)
07-11-2018, 11:23 door Anoniem
To be accepted to OSS-Fuzz, an open-source project must have a significant user base and/or be critical to the global IT infrastructure.

Voor wie het wou weten.
07-11-2018, 12:29 door Anoniem
Google is een kankergezwel, veel te veel macht, daar wil je niet mee samenwerken.
07-11-2018, 13:03 door Anoniem
ging het zowel om beveiligingslekken als stabiliteitsproblemen
Als beveiliging gaat over Beschikbaarheid, Integriteit en Vertrouwelijkheid. Hoe is stabiliteit (B+I) dan iets anders dan beveiliging?
07-11-2018, 13:30 door Ron625
Ach, wanneer er 9 miljoen pakketten getest zijn, is dit best een goed resultaat.
Zijn er maar 9000 programma's getest, dan is het een ander verhaal.
07-11-2018, 14:41 door [Account Verwijderd]
Goed nieuws.

Dit geeft meteen het voordeel aan van Open Source vs. Closed Source.
We hebben geen idee hoeveel bugs er in Closed Source software zit en welke consequenties deze kunnen hebben.
07-11-2018, 15:22 door -karma4
Goed bezig Google!
07-11-2018, 21:03 door karma4
Door Ron625: Ach, wanneer er 9 miljoen pakketten getest zijn, is dit best een goed resultaat.
Zijn er maar 9000 programma's getest, dan is het een ander verhaal.

Door EnGee: Goed nieuws.

Dit geeft meteen het voordeel aan van Open Source vs. Closed Source.
We hebben geen idee hoeveel bugs er in Closed Source software zit en welke consequenties deze kunnen hebben.

Volg de link en: "To be accepted to OSS-Fuzz, an open-source project must have a significant user base and/or be critical to the global IT infrastructure. To submit a new project:"
Je hebt het over de generieke software die de grote commerciëlen achter hun dure producten zetten en als verkoop argument gebruiken dat het allemaal "gratis" is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.