Nul

Abstract computer programmering kode som teknologi, baggrund
Igor Stevanovic, Getty Images/iStockphoto
Google afslørede i dag, at OSS-Fuzz, virksomhedens automatiserede fuzzing service/bot, har identificeret og beskrevet på over 9.000 sårbarheder i de mest anvendte open source projekter i de sidste to år.
OSS-Fuzz blev lanceret i December 2016 og er en automatiseret værktøj udviklet af Google, der kan finde sårbarheder i applikationer, via en teknik, der kaldes fuzzing.
En fuzzer (fuzzing værktøj) og teknik fuzzing virker ved at fodre et program med store mængder af tilfældige data og analysere dens output for misdannelser og går ned –som til gengæld give udviklere et hint om tilstedeværelsen af mulige fejl i app ‘ s kode.
Fuzzing har eksisteret i årtier, men fuzzers er kun blevet udbredt i de seneste år, og Google har været en af de største virksomheder, der skubber både indtastere og sikkerhed forskere i retning af sådanne værker og teknikker.
Google open-sourcede flere fuzzers i de seneste år, såsom Flayer i 2007, men langt den største projekt var OSS-Fuzz, som det blev lanceret i December 2016.
OSS-Fuzz blev frigivet som open source værktøj, som alle kan downloade fra GitHub og bruge mod deres egen kode, men også som en cloud-baseret tjeneste, der stilles til rådighed for en vælge antal af open source-projekter, at Google enten anvendes internt, eller det, der anses for afgørende for den software-økosystem som helhed (der var 47 i Maj 2017).
OSS-Fuzz “service” vil identificere fejl i de deltagende projekter, Google sikkerhed ingeniører ville gennemgå de fundne sårbarheder, og derefter indsende fejlrapporter, der bygger på resultaterne.
Yderligere, har Google også integreret OSS-Fuzz cloud-baseret tjeneste med sine “fejl patching” belønninger program, hvilket betyder, at Google ville også betale for open source-projekter belønninger for fejl identificeres og rapporteres ved sin ingeniører via OSS-Fuzz-platform.
Deltagende open source-projekter var berettiget til at modtage mellem $500 og $20.000 for hver lappet fejl, men de fik også bonusser for at ændre deres kode til at integrere med OSS-Fuzz på et dybere niveau.
I et blog-indlæg i dag, Google gav en status opdatering på OSS-Fuzz-projektet. Først og fremmest, at OSS-Fuzz cloud-baseret tjeneste, har modtaget flere opdateringer, og er nu mere automatiseret end før, stole mindre og mindre på menneskelige vurderinger.
“Indtil for nylig, [problemer, der blev fundet ved OSS-Fuzz] blev manuelt indberettet til forskellige offentlige bug trackers af vores security team, og derefter overvåges, indtil de blev løst,” sagde Google. “Mens denne rapportering processen haft en vis succes, det blev alt for kompliceret. Nu ved samlende og automatisering af vores fuzzing værktøjer, vi har været i stand til at konsolidere vores processer ind i en enkelt arbejdsgang, baseret på OSS-Fuzz.”
Men mens OSS-Fuzz kan nu identificere og rapportere fejl hurtigere, projektet stadig har brug for at vokse og nå ud til nye projekter, er et problem, at Google har planer om at tage i de kommende uger.
“Vores mål er at indrømme, at så mange [open source software] projekter som muligt og sikre, at de løbende fuzzed,” sagde Google. “I de kommende uger, vil vi nå ud via e-mail til vigtige projekter, som vi mener, ville være en god pasform og støtte samfundet i almindelighed.”
Den nye projekter, der er optaget i OSS-Fuzz en cloud-tjeneste, vil også være berettiget til Google ‘ s Patch Reward-Program, hvilket betyder, at nogle projekter vedligeholdere kan faktisk være meget glade for at modtage Googles OSS-Fuzz invitation via e-mail, da det kan give dem en ekstra indtægtskilde.
I slutningen af August, har Google også open source anden intern fuzzing værktøj hedder BrokenType, som en af sine ingeniører havde anvendt til at identificere snesevis af sårbarheder i font-displayet (lednings) komponenter.
Relaterede dækning:
Android nyheder og børn apps indeholder de mest tredjeparts-trackersHackere i stigende grad ødelægger logs til at skjule angrebGoogle vil ikke lade dig logge på, hvis du har deaktiveret JavaScript i din browserIBM til at købe Røde Hat for at afværge Amazon, Google, Microsoft CNETkan Microsoft være verdens største open source bidragyder TechRepublicBug bounty ordning afdækker 150 sårbarheder i US Marine Corps hjemmesider
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0