Noll
Sammanfattning för programmering av kod som teknik bakgrund
Igor Stevanovic, Getty Images/iStockphoto
Google avslöjade idag att OSS-Fuzz, företagets automatiserade bråkat service/bot, har identifierats och redovisas över 9 000 sårbarheter i allmänt används öppen källkod-projekt under de senaste två åren.
OSS-Fuzz lanserades i December 2016 och är ett automatiskt verktyg som utvecklats av Google som kan hitta sårbarheter i applikationer via en teknik som kallas bråkat.
En fuzzer (bråkat verktyg) och tekniken för bråkat fungerar genom att mata in ett program med stora mängder av slumpmässigt data och analysera dess utgång för avvikelser och olyckor –vilket, i sin tur, att ge utvecklarna en antydan om förekomsten av eventuella buggar i appen kod.
Bråkat har funnits i årtionden, men fuzzers har bara blivit allmänt antagits under de senaste åren, och Google har varit en av de största företag som driver både kodare och säkerhet forskare mot sådana verktyg och tekniker.
Google är öppen källkod-flera fuzzers under de senaste åren, som Rackarn 2007, men dess absolut största projektet var OSS-Fuzz, som lanserades i December 2016.
OSS-Fuzz släpptes som ett open source-verktyg som alla kan ladda ner från GitHub och använda mot sin egen kod, men också som en molnbaserad tjänst som görs tillgänglig för ett antal projekt med öppen källkod som Google antingen användas internt eller om det bedöms kritiska för att programmet ekosystemet som helhet (det var 47 i Maj 2017).
OSS-Fuzz “tjänst” skulle identifiera fel i deltagande projekt, Google ingenjörer säkerhet skulle granska hittat sårbarheter, och sedan skicka in felrapporter, baserat på resultaten.
Ytterligare, Google också integrerad OSS-Fuzz moln-baserad tjänst med dess “fel lapp” rewards-programmet, vilket innebär att Google skulle också betala open source-projekt belöningar för fel identifieras och rapporteras av dess ingenjörer via OSS-Fuzz plattform.
Deltagande open source-projekt har rätt att ta emot mellan $500 och $20 000 för varje korrigerad bugg, men de fick också bonusar för att ändra sin kod för att integrera med OSS-Fuzz på en djupare nivå.
I ett blogginlägg i dag, Google gav en status uppdatering på OSS-Fuzz projektet. Först och främst, OSS-Fuzz moln-baserad tjänst har fått flera uppdateringar och är nu mer automatiserad än innan, och litar mindre och mindre på mänskliga granskare.
“Fram tills nyligen, [frågor som finns med OSS-Fuzz] var manuellt rapporteras till olika offentliga bugg uppföljningar av vårt säkerhets team och sedan övervakas tills de var löst, säger Google. “Trots att detta rapporteringen hade någon framgång, det var alltför komplicerad. Nu, genom att förena och automatisera våra bråkat verktyg har vi kunnat befästa vår processer i en enda arbetsflöde, baserade på OSS-Fuzz.”
Men samtidigt som OSS-Fuzz kan nu identifiera och rapportera fel snabbare, projektet är fortfarande i behov av att växa och nå nya projekt, en fråga som Google planerar att ta itu med under de kommande veckorna.
“Vårt mål är att erkänna att så många [open source-programvara] projekt som möjligt och se till att de kontinuerligt fuzzad,” säger Google. “Under de närmaste veckorna, vi kommer att nå ut via e-post till viktiga projekt som vi tror skulle vara en bra passform och stöd för samhället i stort.”
De nya projekt som antas till OSS-Fuzz cloud service kommer också att vara berättigade till Googles Patch Reward Program, vilket innebär att vissa projekt-ansvariga kan faktiskt vara oerhört glad över att få Googles OSS-Fuzz inbjudan, eftersom det kan ge dem en extra inkomstkälla.
I slutet av augusti, Google också öppen källkod-en annan intern bråkat verktyg som heter BrokenType, som en av dess ingenjörer hade använt för att identifiera tiotal av sårbarheter i teckensnittet (rastrering) komponenter.
Relaterade täckning:
Android nyheter och barnen apps innehåller de tredje-part-trackersHackare är i allt större utsträckning förstör loggar för att dölja attackerGoogle kommer inte att låta dig logga in om du stängt av JavaScript i din webbläsareIBM för att köpa Red Hat för att avvärja Amazon, Google, Microsoft CNETMicrosoft kan vara världens största open source bidragsgivare TechRepublicBug bounty system avslöjar 150 sårbarheter i US Marine Corps webbplatser
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0