10.000 milliarder fuzzing-test om dagen afslører 1.000 open source-fejl

Sådan fordelte de mere end 1.000 fejl sig, som Google fandt i open source-projekter gennem massiv fuzzing.
Googles projekt med at finde fejl og potentielle sikkerhedshuller i open source-software ved hjælp af fuzzing på en stor klyngecomputer har indtil videre fundet mere end 1.000 fejl.

Google har i løbet af fem måneder fundet mere end 1.000 fejl i open source-software, hvor af 264 var potentielle sikkerhedshuller. Men det mest interessante er, at Google har brugt metoden fuzzing på meget stor skala.

Fuzzing går ud på at teste et stykke software for fejl ved at udsætte det for tilfældige input og på den måde forsøge at udløse fejl, som ellers kan være svære at opdage, hvis man blot går koden igennem. Det gælder eksempelvis forskellige overløbsfejl (overflows).

Google lancerede i december projektet OSS-Fuzz, som skulle fungere som en betatest af Googles ambition om at afprøve fuzzing på meget stor skala. Softwaren, som blev analyseret, kom fra en række udbredte open source-projekter som eksempelvis FFmpeg og LibreOffice.

Fuzzing har været anvendt længe, men Google havde til udviklingen af Chrome-browseren skabt ClusterFuzz, som kunne foretage fuzzing med milliarder af test om dagen. Til OSS-Fuzz er Google nået op på 10.000 milliarder test om dagen.

Det gør det muligt at skyde med så mange spredehagl på kort tid, at det altså også har givet pote i form af en stribe rettelser i de open source-projekter, som har været gennem maskinen. Eksempelvis blev der fundet og rettet 33 sikkerhedshuller i LibreOffice takket være projektet, rapporterer Google.

Fuzzing-metoden har først og fremmest fundet hukommelsesrelaterede fejl, som ud over overløbsfejl også omfatter leaks, out-of-memory og timeouts.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017