The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

09.05.2017 10:56  Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fuzz

Компания Google подвела первые итоги работы проекта OSS-Fuzz, созданного для организации непрерывного fuzzing-тестирования открытого ПО с целью выявления возможных проблем с безопасностью. За пять месяцев существования проекта было организовано тестирование 47 открытых проектов, в результате которого было выявлено более тысячи ошибок, из которых 264 являются потенциальными уязвимостями.

Из подтверждённых уязвимостей отмечается 10 проблем во FreeType2, 17 в FFmpeg, 33 в LibreOffice, 8 в SQLite, 10 в GnuTLS, 25 в PCRE2, 9 в gRPC и 7 в Wireshark. Благодаря организации непрерывного тестирования некоторые из ошибок удалось обнаружить спустя лишь несколько часов после внесения регрессивных изменений в кодовую базу. Кроме ошибок, которые непосредственно могут привести к уязвимостям, в ходе применения OSS-Fuzz также выявлено более 300 проблем, приводящих к прекращению обработки из-за истечения таймаута или исчерпания доступной памяти, которые не всегда рассматриваются как ошибки, но могут служить как отправная точка для поиска более серьёзных проблем.

Для стимулирования разработки сценариев проверки в OSS-Fuzz новых открытых проектов, компания Google объявила о введении в строй программы выплаты вознаграждений за интеграцию значимых и популярных открытых проектов. Компания Google готова заплатить $1000 за начальную интеграцию и до $20,000 за расширенную интеграцию, подразумевающую организацию автоматизированную проверку кода из репозиториев с охватом (code coverage) проверкой более 80% кода и интеграцией с основной инфраструктурой тестирования и обработки ошибок.

Напомним, что при fuzzing-тестировании осуществляется генерация потока всевозможных случайных комбинаций входных данных, приближенных к реальным данным (например, html-страницы с случайными параметрами тегов или изображения с аномальными заголовками), и фиксация возможных сбоев в процессе их обработки. Если какая-то последовательность приводит к краху или не соответствует ожидаемой реакции, то такое поведение с высокой вероятностью свидетельствует об ошибке или уязвимости.

  1. Главная ссылка к новости (https://opensource.googleblog....)
  2. OpenNews: Google представил OSS-Fuzz, сервис для анализа безопасности открытого ПО
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: fuzzing, test, debug
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:08, 09/05/2017 [ответить] [смотреть все]
  • +1 +/
    Что на это ответит пивас-студия?
     
     
  • 2.2, Аноним, 11:23, 09/05/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +19 +/
    Придумает еще более идиотское пользовательское соглашение.
     
     
  • 3.10, Andrey_Karpov, 12:36, 09/05/2017 [^] [ответить] [смотреть все]
  • –9 +/
    Платишь деньги - пользуешься Что с ним не так ... весь текст скрыт [показать]
     
     
  • 4.31, Аноним, 17:15, 09/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Что и перья в зaдницy <зачеркнуто> комментарии в код вставлять необязательно.
     
     
  • 5.34, Аноним, 17:17, 09/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Если что, это был вопрос ... весь текст скрыт [показать]
     
  • 5.37, Andrey_Karpov, 17:42, 09/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Тем, кто приобрёл лицензию, естественно никакие комментарии вставлять не надо К... весь текст скрыт [показать]
     
     
  • 6.40, kai3341, 18:04, 09/05/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Юный анонимус опеннета считает, что ему все должны и бесплатно до тех пор, пока ... весь текст скрыт [показать]
     
     
  • 7.58, Аноним, 22:10, 09/05/2017 [^] [ответить] [смотреть все]  
  • +6 +/
    По моему опыту о бабле в IT больше всего любят с умным видом поговорить вчерашние школьники с хеловорлдом наперевес, копеечные эникейщики, бродячие одинесники и тому подобные человечьи очистки.
     
  • 6.41, Admino, 18:22, 09/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Кхе-кхе И где этот комментарий в дистрибутиве PVS-Studio ... весь текст скрыт [показать]
     
     
  • 7.44, Andrey_Karpov, 18:31, 09/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Что Я совершенно не понял вопрос При чём вообще тут дистрибутив ... весь текст скрыт [показать]
     
     
  • 8.66, папа карло, 14:37, 10/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Не обращайте внимание, это бездельники, которым только и дело - чесать языком ме... весь текст скрыт [показать]
     
  • 2.3, A.Stahl, 11:26, 09/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А у них кто-то будет спрашивать?
     
  • 2.5, oopsy, 12:10, 09/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Коллега, Андрей Карпов уже ответил на сравнение статического анализа текста в л... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, Andrey_Karpov, 12:33, 09/05/2017 [^] [ответить] [смотреть все]  
  • –6 +/
    Раз уж речь зашла о Valgrind, хочу обратить внимание ещё вот на эту свежую стать... весь текст скрыт [показать]
     
     
  • 4.16, Аноним, 14:01, 09/05/2017 [^] [ответить] [смотреть все]  
  • +11 +/
    Блин, как же вы достали. Пользуетесь любым поводом, чтобы просунуть рекламу себя любимых.
     
     
  • 5.17, Andrey_Karpov, 14:06, 09/05/2017 [^] [ответить] [смотреть все]  
  • –8 +/
    А почему Вы не возмущаетесь пиаром, который осуществляет Google, рассказывая о с... весь текст скрыт [показать]
     
     
  • 6.20, A.Stahl, 14:41, 09/05/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Вот когда в ваши статьи будут лезть гугл-боты и оффтопить рекламой про гуглопрое... весь текст скрыт [показать]
     
  • 6.23, Аноним, 16:09, 09/05/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    наверно по тому что количество полезного от вас и от google совсем разное Кроме... весь текст скрыт [показать]
     
     
  • 7.26, Andrey_Karpov, 16:28, 09/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Анализатор PVS-Studio является программным продуктом, на продаже которого мы зар... весь текст скрыт [показать]
     
     
  • 8.33, Аноним, 17:16, 09/05/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Да зарабатывайте, хоть тресните, только с рекламой во все дыры не лезьте.


     
     
  • 9.43, Andrey_Karpov, 18:30, 09/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Вы преувеличиваете Просто именно Вам на глаза мы попались несколько раз и тепер... весь текст скрыт [показать]
     
     
  • 10.46, Аноним, 18:40, 09/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Да вами уже весь интернет провонял.
     
  • 3.11, Сергей, 12:37, 09/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Разумные размышления от коммерсантов Да не смешите моего кота Все их размышлен... весь текст скрыт [показать]
     
     
  • 4.13, Andrey_Karpov, 12:45, 09/05/2017 [^] [ответить] [смотреть все]  
  • –11 +/
    Список тех, кого Вы называете лохами ушастыми https www viva64 com ru custo... весь текст скрыт [показать]
     
     
  • 5.25, Сергей, 16:25, 09/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Да ну Ух ты, там лаборанты, микрософт и прочие ИТ паразиты известные своим гнил... весь текст скрыт [показать]
     
     
  • 6.27, Andrey_Karpov, 16:39, 09/05/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Не понимаю, при чём здесь СПО Вот есть скажем у нас в клиентах компания, зани... весь текст скрыт [показать]
     
     
  • 7.54, Аноним, 19:32, 09/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Теряется конкуренция, что в этом хорошего ... весь текст скрыт [показать]
     
  • 7.55, Аноним, 20:57, 09/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Не надо смешивать солидол с яблочным джемом Или чтобы ни кто не видел что и у к... весь текст скрыт [показать]
     
  • 3.28, Аноним, 16:51, 09/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Давно ли их продукт стал синонимом статического анализа Других анализаторов нет... весь текст скрыт [показать]
     
  • 2.12, Andrey_Karpov, 12:42, 09/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –5 +/
    Мы на голом энтузиазме нашли уже более 11000 ошибок в открытых проектах https ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, Аноним, 13:05, 09/05/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Продайтесь гуглу Все будут счастливы Стандартный менталитет зомбирование гу... весь текст скрыт [показать]
     
  • 3.22, Анонс, 15:39, 09/05/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Потому что даже Гуглу вы не нужны Что говорит о качестве вашего изобретения ... весь текст скрыт [показать]
     
  • 3.29, Аноним, 16:53, 09/05/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Размечтались, ага Купит вас гугл, готовьте чемоданы для баксов Ему выгоднее вк... весь текст скрыт [показать]
     
  • 3.35, Аноним, 17:19, 09/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    зевая Число наверняка указано без вычета ложных срабатываний ... весь текст скрыт [показать]
     
     
  • 4.38, Andrey_Karpov, 17:47, 09/05/2017 [^] [ответить] [смотреть все]  
  • +/
    11000 это не количество предупреждений Это именно 11037 ошибок, которые выписан... весь текст скрыт [показать]
     
  • 2.14, eSyr, 12:59, 09/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    А какое отношение фаззинг имеет к статическому анализу?
     
     
  • 3.18, Аноним, 14:25, 09/05/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Никакого Но вот если бы это был статический анализ, мы могли бы вам попробовать... весь текст скрыт [показать]
     
  • 2.32, Аноним, 17:15, 09/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    > Что на это ответит пивас-студия?

    Ну вот кто тебя за язык тянул, а?

     
     
  • 3.36, A.Stahl, 17:27, 09/05/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Начальник отдела маркетинга. Кто же ещё?
     
  • 3.62, Какаянахренразница, 04:08, 10/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Да уж, накомлал герр Шталь нечистую силу на наши головы...
     
  • 3.63, Аноним, 11:27, 10/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Кто, если не я? Когда, если не сейчас?
     
  • 1.7, Аноним, 12:31, 09/05/2017 [ответить] [смотреть все]  
  • –5 +/
    Отличный проект Я примерно так себе и представляю будущее свободного ПО Тестир... весь текст скрыт [показать]
     
     
  • 2.47, Аноним, 18:44, 09/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Дошло уже до юзабилити, дошло, набежали г вноеды Уже и кнопки Ок и Отмена места... весь текст скрыт [показать] [показать ветку]
     
  • 1.21, nur, 15:25, 09/05/2017 [ответить] [смотреть все]  
  • –2 +/
    объясните недалекому - как вообще устроен процесс обнаружения возможных (!!!) уязвимостей в коде "возможно приводящих к потенциальным уязвимостям"?
    это там какой то особо прокачаный libastral, или же есть какие то конкретные правила написания кода ?
     
     
  • 2.24, Andrey_Karpov, 16:16, 09/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Я понимаю это так Инструмент находит ошибки Для начала не важно какие Важно п... весь текст скрыт [показать] [показать ветку]
     
  • 2.30, Аноним, 17:00, 09/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Очень просто Находят ошибки разных типов Определённые типы ошибок например пе... весь текст скрыт [показать] [показать ветку]
     
  • 1.56, mumu, 21:32, 09/05/2017 [ответить] [смотреть все]  
  • +1 +/
    overflows, overflows, overflows... Какие отмазы только инвалиды не придумывают, только бы rust не использовать.
     
     
  • 2.59, Аноним, 23:20, 09/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    freetype -1996 год ffmpeg - 2000 год libreoffice тогда ещё staroffice - 1985 г... весь текст скрыт [показать] [показать ветку]
     
  • 2.60, Аноним, 23:22, 09/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    И да, использование частиц не ни подучи ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.61, Аноним, 01:06, 10/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Форум это разговорный язык, gramota.ru в другом месте.
     
     
  • 4.64, VladSh, 13:47, 10/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Разговорный язык бывает разный, как грамотный, так и безграмотный.
     
  • 4.72, KBAKEP, 18:22, 12/05/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    На форуме письменная речь, с помощью специальных графических знаков (знаков письменности).
     
  • 3.65, Аноним, 14:10, 10/05/2017 [^] [ответить] [смотреть все]  
  • +/
    И куда уважаемый Грамотей тут собрался частицу НИ вставлять ... весь текст скрыт [показать]
     
     
  • 4.67, Аноним, 16:26, 10/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Сможешь угадать с трёх раз?
     
     
  • 5.68, Аноним, 17:07, 10/05/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Ты не умничай, ты паль W вставь и покажи А мы посмеемся ... весь текст скрыт [показать]
     
  • 4.70, axredneck, 02:31, 11/05/2017 [^] [ответить] [смотреть все]  
  • +/
    > инвалиды не придумывают

    сие не является отрицанием, так что тут "ни"

     
  • 1.69, Ivan, 20:50, 10/05/2017 [ответить] [смотреть все]  
  • +1 +/
    Сколько комментариев и ни одного нормального Кому-то не дает покоя один навязчи... весь текст скрыт [показать]
     
     
  • 2.71, Аноним, 12:41, 11/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Хороший фаззер отслеживает пути выполнения и умеет отличать разные ошибки от дуб... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList