Nul
Abstract het programmeren van computers code als achtergrond technologie
Igor Stevanovic, Getty Images/iStockphoto
Google onthulde vandaag dat OSS-Fuzz, het bedrijf geautomatiseerde fuzzing service/bot, heeft geconstateerd en meer dan 9.000 kwetsbaarheden in veel gebruikte open source-projecten in de afgelopen twee jaar.
OSS-Fuzz werd gelanceerd in December 2016 en is een geautomatiseerde tool van Google die het vinden van kwetsbaarheden in applicaties via een techniek genaamd fuzzing.
Een fuzzer (fuzzing tool) en de techniek van fuzzing werkt door het voeren van een software-applicatie met grote hoeveelheden van willekeurige gegevens en het analyseren van de output voor afwijkingen en ongevallen-die op hun beurt, geven de ontwikkelaars een hint over de aanwezigheid van eventuele fouten in de applicatie-code.
Fuzzing is geweest rond voor decennia, maar fuzzers hebt alleen op grote schaal wordt toegepast in de afgelopen jaren, en Google is één van de belangrijkste bedrijven van het duwen van beide codeurs en de onderzoekers van de veiligheid in de richting van zulke gereedschappen en technieken.
Google open-source verschillende fuzzers in de afgelopen jaren, zoals Flayer in 2007, maar veruit het grootste project was OSS-Fuzz, die werd gelanceerd in December 2016.
OSS-Fuzz werd uitgebracht als een open source tool is dat iedereen het kan downloaden van GitHub en gebruiken tegen hun eigen code, maar ook als een op de cloud gebaseerde service beschikbaar voor een select aantal open source-projecten die Google gebruikt hetzij intern, of het als essentieel voor de software-ecosysteem als geheel (er waren er 47 in Mei 2017).
De OSS-Fuzz “service” zou identificeren fouten in de deelnemende projecten, Google security engineers beoordelen van de gevonden kwetsbaarheden en daarna opsturen van bug reports op basis van de bevindingen.
Verder is Google ook geïntegreerd in OSS-Fuzz op de cloud gebaseerde service met de “bug-patching’ rewards programma, wat betekent dat Google zou ook het betalen van open source-projecten beloningen voor bugs geïdentificeerd en gerapporteerd door de ingenieurs via de OSS-Fuzz-platform.
Deelnemende open source projecten kwamen in aanmerking voor het ontvangen van tussen de $500 en $20.000 voor elke gerepareerde bug, maar ze kreeg ook bonussen voor het wijzigen van hun code te integreren met OSS-Fuzz op een dieper niveau.
In een blog post vandaag, Google gaf een status update in het OSS-Fuzz project. Eerst en vooral, de OSS-Fuzz op de cloud gebaseerde service heeft een aantal updates en het is nu meer geautomatiseerd dan voorheen, is het vertrouwen minder en minder op de menselijke beoordelaars.
“Tot voor kort [problemen die zijn gevonden door OSS-Fuzz] handmatig gemeld aan verschillende openbare bug trackers door onze security team en dan gecontroleerd worden, totdat ze zijn opgelost,” aldus Google. “Hoewel deze rapportage proces had enig succes, het was te complex. Nu, door het verenigen en het automatiseren van ons fuzzing tools, zijn we in staat geweest om het consolideren van onze processen in één workflow, op basis van OSS-Fuzz.”
Maar terwijl OSS-Fuzz kunt nu aangeven en rapporteren van bugs sneller, het project moet nog groeien en het bereiken van nieuwe projecten, een probleem dat Google plannen om in de komende weken.
“Ons doel is om toe te geven [open source software] projecten mogelijk en zorgen ervoor dat ze continu fuzzed,” Google gezegd. “In de komende weken zullen we bereiken via e-mail naar kritische projecten waarvan wij denken dat deze een goede pasvorm en ondersteuning van de gemeenschap in het algemeen.”
De nieuwe projecten, opgenomen in de OSS-Fuzz cloud-dienst ook in aanmerking te komen voor Google Patch Reward Program, wat betekent dat sommige projectbeheerders kunnen eigenlijk zeer graag ontvangen Google OSS-Fuzz uitnodiging per e-mail, als het kan hen voorzien van een extra stroom van inkomsten.
Eind augustus Google ook open-source andere interne fuzzing tool genaamd BrokenType, die een van de ingenieurs hadden gebruikt voor het identificeren van tientallen kwetsbaarheden in het lettertype van het display (rastering) onderdelen.
Verwante dekking:
Android nieuws en kids apps bevatten de meeste derden trackersHackers zijn steeds het vernietigen van logs te verbergen aanvallenGoogle laat je niet aanmelden als u JavaScript in uw browserIBM te koop Rode Hoed af te wenden Amazon, Google, Microsoft CNETkan Microsoft ‘ s werelds grootste open source bijdrage TechRepublicBug bounty regeling onthult 150 kwetsbaarheden in het US Marine Corps websites
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0