ΕΛ/ΛΑΚ | creativecommons.gr | mycontent.ellak.gr |
freedom

OSS-Fuzz απο την Google: Αυτοματοποιημένες δοκιμές για την ανακάλυψη σφαλμάτων στον Ανοιχτό κώδικα

Η Google ανακοίνωσε το έργο «OSS-Fuzz», ένα έργο σε beta έκδοση, στο οποίο μπορούν να ενταχθούν έργα ανοιχτού λογισμικού για να κάνει «δοκιμές Fuzz.» Η  δοκιμή Fuzz, ή «fuzzing,» είναι μια αυτοματοποιημένη τεχνική δοκιμή που μπορεί να αποκαλύψει memory corruption bugs στο λογισμικό με την παραγωγή τυχαίων εισόδων σε ένα συγκεκριμένο πρόγραμμα.

Το έργο, το οποίο αναπτύχθηκε σε συνεργασία με την κοινότητα  «Core Infrastructure Initiative»  τα τελευταία χρόνια, στοχεύει σε συγκεκριμένα έργα ανοικτού κώδικα που έχουν μια «μεγάλη βάση χρηστών» ή / και είναι «κρίσιμης σημασίας για την παγκόσμια υποδομή IT.»

Η «Core Infrastructure Initiative» ,  αποτελείται από πολλές μεγάλες εταιρείες τεχνολογίας, συμπεριλαμβανομένης και της Google, μετά την ανακάλυψη του Heartbleed bug. Ο στόχος του έργου είναι η χρηματοδότηση λογισμικού ανοικτού κώδικα που αντιπροσωπεύει ένα σημαντικό μέρος της υποδομής του web. Αυτό περιλαμβάνει λογισμικό όπως τα OpenSSL, OpenSSH, GnuPG, το έργο Linux Kernel Self-Protection, και άλλα.

Το έργο OSS-Fuzz θα μπορούσε να εντοπίσει κενά ασφαλείας που τείνουν να είναι αρκετά συχνά σε λογισμικό γραμμένο σε γλώσσες προγραμματισμού όπως η C και η C ++, οι οποίες δεν είναι memory-safe.

opensource-web-testing-tools-e1430740187296

Θα μπορούσε να εντοπίσει σφάλματα, όπως αυτό που πρόσφατα ανακαλύφθηκε στον Firefox και στο πρόγραμμα περιήγησης Tor, ή σφάλματα όπως το Stagefright  που επηρέασε σχεδόν όλους τους χρήστες του Android. Αυτού το είδους τα memory corruption bugs είναι συχνά δύσκολο να βρεθούν ακόμη και σε εξονυχιστικούς ελέγχους ασφαλείας, και αυτό τονίζει την σημασία του έργου OSS-Fuzz

Το έργο OSS-Fuzz έχει ήδη χρησιμοποιηθεί για να αποκαλύψει εκατοντάδες σφάλματα ασφάλειας και  σταθερότητας στο Chrome, και η Google δήλωσε ότι είναι τώρα πρόθυμη να μοιραστεί αυτήν την υπηρεσία με την κοινότητα ανοικτού κώδικα. Λαμβάνοντας υπόψη ότι το έργο έχει ήδη χρησιμοποιηθεί για να ελέγξει το πρόγραμμα περιήγησης Chrome για τρωτά σημεία, μπορεί να είναι δυνατό να το χρησιμοποιήσει και για τον Firefox.

Η Google ελπίζει να κάνει το  fuzzing ένα «τυπικό μέρος της διαδικασίας της ανάπτυξης ανοικτού κώδικα», επειδή πιστεύει ότι αυτό το είδος των δοκιμών μπορούν να οδηγήσουν σε σημαντικές βελτιώσεις της ασφάλειας σε κρίσιμες εφαρμογές λογισμικού.

Διαβάστε την ανακοίνωση της Google για το OSS-Fuzz

Πηγή άρθρου: http://www.tomshardware.com

Leave a Comment