Google-fuzzer vindt 9.000 bugs in opensourcesoftware

[Captain Kirk]

Google heeft de afgelopen 2 jaar via een eigen fuzzer meer dan 9.000 bugs in opensourcesoftware gevonden en aan de betreffende ontwikkelaars gerapporteerd. OSS-Fuzz, zoals de fuzzer wordt genoemd, combineert verschillende fuzzing-engines en draait op een grote gedistribueerde fuzzing-infrastructuur.

Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. In het geval van de bugs die Google vond en rapporteerde ging het zowel om beveiligingslekken als stabiliteitsproblemen.

Naast OSS-Fuzz gebruikt Google ook verschillende interne tools om bugs in zowel de eigen als opensourcecode te vinden. Voorheen werden gevonden problemen handmatig bij het betreffende opensourceproject gemeld. Dit proces was echter vrij complex, aldus Google. Daarom gaat de internetgigant nu alle fuzzingtools verenigen en automatiseren.

Opensourceprojecten die binnen OSS-Fuzz geïntegreerd worden zullen straks zowel door interne als externe fuzzingtools van Google worden bekeken. Dit moet ervoor zorgen dat bugs sneller worden gevonden. De komende weken gaat Google verschillende belangrijke opensourceprojecten benaderen of ze OSS-Fuzz binnen hun project willen integreren. Om opensourceprojecten bij de integratie te helpen biedt Google een bedrag van tussen de 1.000 en 20.000 dollar.

 

 

bron: security.nl