The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fuzz"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fuzz"  –1 +/
Сообщение от opennews (??), 09-Май-17, 11:08 
Компания Google подвела (https://opensource.googleblog.com/2017/05/oss-fuzz-five-mont...) первые итоги работы проекта  OSS-Fuzz (https://github.com/google/oss-fuzz/), созданного (https://www.opennet.ru/opennews/art.shtml?num=45602)  для организации непрерывного fuzzing-тестирования открытого ПО с целью выявления возможных проблем с безопасностью. За пять месяцев существования проекта было организовано тестирование 47 открытых проектов (https://github.com/google/oss-fuzz/tree/master/projects), в результате которого было выявлено более тысячи (https://bugs.chromium.org/p/oss-fuzz/issues/list?can=1&q=-co...) ошибок, из которых 264 (https://bugs.chromium.org/p/oss-fuzz/issues/list?can=1&q=-co...) являются потенциальными уязвимостями.


Из подтверждённых уязвимостей отмечается 10 (https://bugs.chromium.org/p/oss-fuzz/issues/list?can=1&q=Pro...) проблем во FreeType2, 17 (https://bugs.chromium.org/p/oss-fuzz/issues/list?can=1&q=Pro...) в FFmpeg, 33 (https://bugs.chromium.org/p/oss-fuzz/issues/list?can=1&q=Pro...) в LibreOffice, 8 (https://bugs.chromium.org/p/oss-fuzz/issues/list?can=1&q=Pro...) в SQLite, 10 (https://bugs.chromium.org/p/oss-fuzz/issues/list?can=1&q=Pro...) в GnuTLS, 25 (https://bugs.chromium.org/p/oss-fuzz/issues/list?can=1&q=Pro...) в PCRE2, 9 (https://bugs.chromium.org/p/oss-fuzz/issues/list?can=1&q=Pro...) в gRPC и  7 (https://bugs.chromium.org/p/oss-fuzz/issues/list?can=1&q=Pro...) в Wireshark. Благодаря организации непрерывного тестирования некоторые из ошибок удалось обнаружить спустя лишь несколько часов после внесения регрессивных изменений в кодовую базу. Кроме ошибок, которые непосредственно могут привести к уязвимостям, в ходе применения OSS-Fuzz также выявлено более 300 проблем, приводящих к прекращению обработки из-за истечения таймаута или исчерпания доступной памяти, которые не всегда рассматриваются как ошибки, но могут служить как отправная точка для поиска более серьёзных проблем.

Для стимулирования разработки сценариев (http://llvm.org/docs/LibFuzzer.html#fuzz-target) проверки в OSS-Fuzz новых открытых проектов, компания Google объявила о введении в строй  программы выплаты вознаграждений за интеграцию значимых и популярных открытых проектов. Компания Google готова заплатить $1000 за начальную интеграцию и до $20,000 за расширенную интеграцию, подразумевающую организацию автоматизированную проверку кода из репозиториев с охватом (code coverage) проверкой более 80% кода и интеграцией с основной инфраструктурой тестирования и обработки ошибок.

Напомним, что при fuzzing-тестировании осуществляется генерация потока всевозможных случайных комбинаций входных данных, приближенных к реальным данным (например, html-страницы с случайными параметрами тегов или изображения с аномальными заголовками), и фиксация возможных сбоев в процессе их обработки. Если какая-то последовательность приводит к краху или не соответствует ожидаемой реакции, то такое поведение с высокой вероятностью свидетельствует об ошибке или уязвимости.

URL: https://opensource.googleblog.com/2017/05/oss-fuzz-five-mont...
Новость: http://www.opennet.ru/opennews/art.shtml?num=46516

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +1 +/
Сообщение от Аноним (-), 09-Май-17, 11:08 
Что на это ответит пивас-студия?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +21 +/
Сообщение от Аноним (-), 09-Май-17, 11:23 
Придумает еще более идиотское пользовательское соглашение.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  –11 +/
Сообщение от Andrey_Karpov (ok), 09-Май-17, 12:36 
> Придумает еще более идиотское пользовательское соглашение.

Платишь деньги - пользуешься. Что с ним не так?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

31. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +/
Сообщение от Аноним (-), 09-Май-17, 17:15 
Что и перья в зaдницy <зачеркнуто> комментарии в код вставлять необязательно.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

34. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +/
Сообщение от Аноним (-), 09-Май-17, 17:17 
> Что и перья в зaдницy <зачеркнуто> комментарии в код вставлять необязательно.

Если что, это был вопрос :)

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

37. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  –2 +/
Сообщение от Andrey_Karpov (ok), 09-Май-17, 17:42 
> Что и перья в зaдницy <зачеркнуто> комментарии в код вставлять необязательно.

Тем, кто приобрёл лицензию, естественно никакие комментарии вставлять не надо.

Комментарии в коде для тех, кто не желает или не может приобрести PVS-Studio, но хочет его использовать. Комментарии это своего благодарность/плата за использование анализатора. Точно такая-же плата взымается с тех, кто использует открытый код под какой-то лицензией. За использование открытого кода необходимо вставить иногда весьма длинный комментарий, рассказывающей о лицензии и прочих вещах. Естественно у всех есть выбор: кто не хочет видеть чужой комментарий в начале, может не использовать открытый код или PVS-Studio.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

40. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +3 +/
Сообщение от kai3341 (ok), 09-Май-17, 18:04 
Юный анонимус опеннета считает, что ему все должны и бесплатно до тех пор, пока сам не пойдёт зарабатывать деньги.
В запущенных случаях, уже на своих хлебах, высоковозрастный болван всё так же не в состоянии поставить себя на место других. Он может писать что угодно, но вес его слов как у макаки в зоопарке
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

58. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +7 +/
Сообщение от Аноним (-), 09-Май-17, 22:10 
По моему опыту о бабле в IT больше всего любят с умным видом поговорить вчерашние школьники с хеловорлдом наперевес, копеечные эникейщики, бродячие одинесники и тому подобные человечьи очистки.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

41. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +/
Сообщение от Admino (ok), 09-Май-17, 18:22 
> За использование открытого кода необходимо вставить иногда весьма длинный комментарий, рассказывающей о лицензии и прочих вещах.

Кхе-кхе. И где этот комментарий в дистрибутиве PVS-Studio?

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

44. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  –1 +/
Сообщение от Andrey_Karpov (ok), 09-Май-17, 18:31 
>> За использование открытого кода необходимо вставить иногда весьма длинный комментарий, рассказывающей о лицензии и прочих вещах.
> Кхе-кхе. И где этот комментарий в дистрибутиве PVS-Studio?

Что? Я совершенно не понял вопрос. При чём вообще тут дистрибутив?

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

66. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +1 +/
Сообщение от папа карло (?), 10-Май-17, 14:37 
Не обращайте внимание, это бездельники, которым только и дело - чесать языком между последними новостями и последними мини-новостями.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

3. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +/
Сообщение от A.Stahl (ok), 09-Май-17, 11:26 
А у них кто-то будет спрашивать?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  –3 +/
Сообщение от oopsy (?), 09-Май-17, 12:10 
Коллега,
Андрей Карпов уже ответил на сравнение статического анализа текста (в лице PVS Studio) и динамического обнаружения ошибок (в лице Valgrind). См., например, https://www.viva64.com/ru/b/0248/ и https://www.viva64.com/ru/b/0278/ .  

авторы PVS Studio осознают, что им не удастся создать единственно-необходимое средство анализа и валидации кода. Но приводят разумные рассуждения почему их продукт находит свою нишу.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  –7 +/
Сообщение от Andrey_Karpov (ok), 09-Май-17, 12:33 
Раз уж речь зашла о Valgrind, хочу обратить внимание ещё вот на эту свежую статью "Проверяем код динамического анализатора Valgrind с помощью статического анализатора" - https://www.viva64.com/ru/b/0504/
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +11 +/
Сообщение от Аноним (-), 09-Май-17, 14:01 
Блин, как же вы достали. Пользуетесь любым поводом, чтобы просунуть рекламу себя любимых.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  –8 +/
Сообщение от Andrey_Karpov (ok), 09-Май-17, 14:06 
> Блин, как же вы достали. Пользуетесь любым поводом, чтобы просунуть рекламу себя
> любимых.

А почему Вы не возмущаетесь пиаром, который осуществляет Google, рассказывая о своих достижениях на ниве СПО?

Можно ответить, что они приносят пользу СПО. Так и мы приносим. В чём отличие?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +5 +/
Сообщение от A.Stahl (ok), 09-Май-17, 14:41 
Вот когда в ваши статьи будут лезть гугл-боты и оффтопить рекламой про гуглопроекты, то тогда, возможно, будем возмущаться.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +4 +/
Сообщение от Аноним (-), 09-Май-17, 16:09 
наверно по тому что количество полезного от вас и от google совсем разное.
Кроме того ваш проект не распространяется как opensource - не даже как бесплатное при условии открытости кода проекта.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

26. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  –1 +/
Сообщение от Andrey_Karpov (ok), 09-Май-17, 16:28 
> Кроме того ваш проект не распространяется как opensource

Анализатор PVS-Studio является программным продуктом, на продаже которого мы зарабатываем деньги. Точно также закрыты Coverity, Klocwork, SonarC++ и т.д. Такие проекты как Clang или OSS-Fuzz, являются проектами, которые удобно делать открытыми и которые затратны для компаний, которые в них вкладываются. Сидят люди на хорошей зарплате, едят печеньки и пишут открытые проекты (и не надо бла-бла про сообщество и что от каждого по способностям... :). А зарабатывают эти компании в других сферах. В общем не путайте модели существования. Если нам кто-то вдруг будет сторонний платить, мы тоже можем open-source делать.

> не даже как бесплатное при условии открытости кода проекта.

Мы ещё более лояльные. Можно использовать PVS-Studio даже В ЗАКРЫТЫХ проектах: https://www.viva64.com/ru/b/0457/


Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

33. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +4 +/
Сообщение от Аноним (-), 09-Май-17, 17:16 
Да зарабатывайте, хоть тресните, только с рекламой во все дыры не лезьте.


Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

43. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  –1 +/
Сообщение от Andrey_Karpov (ok), 09-Май-17, 18:30 
> Да зарабатывайте, хоть тресните, только с рекламой во все дыры не лезьте.

Вы преувеличиваете. Просто именно Вам на глаза мы попались несколько раз и теперь кажется, что мы везде. Это не так: про нас очень мало кто знает. См. заметку "Ох, опять они со своим PVS-Studio. Везде они...": https://www.viva64.com/ru/b/0428/

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

46. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +/
Сообщение от Аноним (-), 09-Май-17, 18:40 
Да вами уже весь интернет провонял.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

11. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +/
Сообщение от Сергей (??), 09-Май-17, 12:37 
> Но приводят разумные рассуждения почему их продукт находит свою нишу

Разумные размышления от коммерсантов? Да не смешите моего кота!
Все их размышления струятся только на предмет более прибыльного разведения лохов ушастых обретающихся в неосвоенных нишах и готовых вестись на их маркетинговые обдурилки.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  –11 +/
Сообщение от Andrey_Karpov (ok), 09-Май-17, 12:45 
> Все их размышления струятся только на предмет более прибыльного разведения лохов ушастых
> обретающихся в неосвоенных нишах и готовых вестись на их маркетинговые обдурилки.

Список тех, кого Вы называете "лохами ушастыми": https://www.viva64.com/ru/customers/

Вы неправы. Это компании, которые заботятся о качестве своего кода, репутации и умеют считать деньги.


Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +1 +/
Сообщение от Сергей (??), 09-Май-17, 16:25 
> Это компании, которые заботятся о качестве своего кода, репутации и умеют считать деньги

Да ну! Ух ты, там лаборанты, микрософт и прочие ИТ паразиты известные своим гнилым нутром и гадкими делами, о какой репутации вы ведёте речь? СПО для всех этих компаний враг, лишающий их части прибылей и делающий адекватных пользователей из обдираемых вами лопоухиков. Так что, ну вы поняли...

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

27. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  –2 +/
Сообщение от Andrey_Karpov (ok), 09-Май-17, 16:39 
> Да ну! Ух ты, там лаборанты, микрософт и прочие ИТ паразиты известные
> своим гнилым нутром и гадкими делами, о какой репутации вы ведёте
> речь?

Не понимаю, при чём здесь СПО... Вот есть скажем у нас в клиентах компания, занимающаяся в сфере стоматологии. Ей важно находить ошибки в программах, чтобы с меньшей вероятностью вам зуб повредить. Вы хотите надежности такого ПО? Думаю, хотите.

> СПО для всех этих компаний враг, лишающий их части прибылей

Как СПО для них враг? Каких прибылей оно их лишает? Хотя, конкуренты могут что-то утащиться к себе. Ну что-же тогда правильно, что ПО закрытое.

> Так что, ну вы поняли...

Нет не понял.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

54. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +/
Сообщение от Аноним (-), 09-Май-17, 19:32 
>Ну что-же тогда правильно, что ПО закрытое.

Теряется конкуренция, что в этом хорошего?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

55. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +/
Сообщение от Аноним (-), 09-Май-17, 20:57 
> чтобы с меньшей вероятностью вам зуб повредить.
> Вы хотите надежности такого ПО? Думаю, хотите.

Не надо смешивать солидол с яблочным джемом!

> Хотя, конкуренты могут что-то утащиться к себе.
> Ну что-же тогда правильно, что ПО закрытое.

Или чтобы ни кто не видел что и у кого вы стащили, как криво сделали, каких недокументированных фишек натолкали и прочее, и прочее, и прочее?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

28. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +/
Сообщение от Аноним (-), 09-Май-17, 16:51 
> авторы [censored] осознают, что им не удастся создать единственно-необходимое средство анализа и валидации кода. Но приводят разумные рассуждения почему их продукт находит свою нишу.

Давно ли их продукт стал синонимом статического анализа? Других анализаторов нет?

P.S. Андрей, не надо, пожалуйста, оставлять под этим сообщением свои сверхценные замечания. Вопрос задан не Вам.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  –5 +/
Сообщение от Andrey_Karpov (ok), 09-Май-17, 12:42 
> Что на это ответит пивас-студия?

Мы на голом энтузиазме нашли уже более 11000 ошибок в открытых проектах ( https://www.viva64.com/en/examples/ ). Если бы кто-то спонсировал это направление, мы могли бы оказать намного больше пользы открытым проектам. А пока есть, что есть.

P.S. Тот-ж Google знает про нас, но конструктивного общения не складывается. Думаю, немного финансирования нам бы не повредило, чтобы плотнее заняться открытыми проектами. Но надо понимать, что они не ангелы, а просто занимаются пиаром (как и мы :). И им лучше "найти самим и получить одобрение", чем проспонсировать, скажем PVS-Studio. :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

15. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  –2 +/
Сообщение от Аноним (-), 09-Май-17, 13:05 
Продайтесь гуглу. Все будут счастливы. Стандартный менталитет (зомбирование): гугель -- анжель, все остальные -- нахлебники.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

22. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +4 +/
Сообщение от Анонс (?), 09-Май-17, 15:39 
Потому что даже Гуглу вы не нужны. Что говорит о качестве вашего "изобретения". Вот когда вы будете помогать открытым проектам сами разрабатывая открытое решение - тогда и будете нужны. А пока вы просто жалкие паразиты, всюду сующие свой пивас.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

29. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +4 +/
Сообщение от Аноним (-), 09-Май-17, 16:53 
Размечтались, ага. Купит вас гугл, готовьте чемоданы для баксов. Ему выгоднее вкладываться в clang, чем в ваш чёрный ящик.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

35. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +1 +/
Сообщение от Аноним (-), 09-Май-17, 17:19 
> Мы на голом энтузиазме нашли уже более 11000 ошибок в открытых проектах

<зевая> Число наверняка указано без вычета ложных срабатываний.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

38. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +/
Сообщение от Andrey_Karpov (ok), 09-Май-17, 17:47 
>> Мы на голом энтузиазме нашли уже более 11000 ошибок в открытых проектах
> <зевая> Число наверняка указано без вычета ложных срабатываний.

11000 это не количество предупреждений. Это именно 11037 ошибок, которые выписаны в базу ошибок: это именно фрагменты кода с багом. Любой желающий может познакомиться с этими ошибками: https://www.viva64.com/ru/examples/

Возможно, среди них и затесался десяток ложных срабатываний, так как сложно изучать чужой код. Но общую картину это не меняет. Ну хорошо, пусть будет не 11037, а 10900.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

74. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +/
Сообщение от Аноним (74), 08-Фев-19, 22:09 
Что-то я до сих пор не вижу от вас бота, который бы сканировал репозитории по заявкам их владельцев.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +1 +/
Сообщение от eSyr (ok), 09-Май-17, 12:59 
А какое отношение фаззинг имеет к статическому анализу?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

18. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +5 +/
Сообщение от Аноним (-), 09-Май-17, 14:25 
Никакого. Но вот если бы это был статический анализ, мы могли бы вам попробовать впарить блюющего единорога...
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

32. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +4 +/
Сообщение от Аноним (-), 09-Май-17, 17:15 
> Что на это ответит пивас-студия?

Ну вот кто тебя за язык тянул, а?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

36. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +5 +/
Сообщение от A.Stahl (ok), 09-Май-17, 17:27 
Начальник отдела маркетинга. Кто же ещё?
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

62. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +/
Сообщение от Какаянахренразница (ok), 10-Май-17, 04:08 
Да уж, накомлал герр Шталь нечистую силу на наши головы...
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

63. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +/
Сообщение от Аноним (-), 10-Май-17, 11:27 
Кто, если не я? Когда, если не сейчас?
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

7. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  –5 +/
Сообщение от Аноним (-), 09-Май-17, 12:31 
Отличный проект. Я примерно так себе и представляю будущее свободного ПО. Тестирование, безопасность и юзабилити за денежку. Потому что пока о тестировании свободного и открытого ПО можно только мечтать. Сначала вот тестирование безопасности, затем, надеюсь, и до юзабилити дойдут. Главное, что бы оставалось в идеологических рамках. Биржи надо открыть, что бы пользователи донатили целенаправленно, только что бы прозрачность была.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +/
Сообщение от Аноним (-), 09-Май-17, 18:44 
Дошло уже до юзабилити, дошло, набежали г.вноеды.

Уже и кнопки Ок и Отмена местами поменяли, настройки выпиливают, иконки в виде бледных поганок везде. Лепотааа...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

21. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  –2 +/
Сообщение от nur (ok), 09-Май-17, 15:25 
объясните недалекому - как вообще устроен процесс обнаружения возможных (!!!) уязвимостей в коде "возможно приводящих к потенциальным уязвимостям"?
это там какой то особо прокачаный libastral, или же есть какие то конкретные правила написания кода ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  –2 +/
Сообщение от Andrey_Karpov (ok), 09-Май-17, 16:16 
> объясните недалекому - как вообще устроен процесс обнаружения возможных (!!!) уязвимостей
> в коде "возможно приводящих к потенциальным уязвимостям"?
> это там какой то особо прокачаный libastral, или же есть какие то
> конкретные правила написания кода ?

Я понимаю это так. Инструмент находит ошибки. Для начала не важно какие. Важно потом классифицировать их. Считается, что некоторые ошибки могут эксплуатироваться. Так, Амит Йоран (начальник отдела национальной кибербезопасности США) считает, что около 95% всех дефектов программ, относящихся к безопасности, проистекает из 19 типичных ошибок (переполнение буфера, переполнение целых чисел, пренебрежение обработкой ошибок и т.д.).

В общем, ошибки, которые как считается, могут привести к уязвимостям, классифицированы в CWE: https://cwe.mitre.org/

Если вы находите ошибку, которая классифицируется согласно CWE, то значит вы нашли потенциальную уязвимость. Может эта ошибка стать настоящей уязвимостью (CVE - https://cve.mitre.org/) зависит от многих обстоятельств (везения).

Анализатор PVS-Studio кстати тоже находит многие ошибки, перечисленные в CWE: https://www.viva64.com/ru/b/0486/  Т.е. PVS-Studio позволяет выявлять и устранить многие потенциальные уязвимости и не стоит недооценивать эту возможность.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

30. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +2 +/
Сообщение от Аноним (-), 09-Май-17, 17:00 
> объясните недалекому - как вообще устроен процесс обнаружения возможных (!!!) уязвимостей
> в коде "возможно приводящих к потенциальным уязвимостям"?
> это там какой то особо прокачаный libastral, или же есть какие то
> конкретные правила написания кода ?

Очень просто. Находят ошибки разных типов. Определённые типы ошибок (например переполнения буфера) часто (но не всегда) приводят к уязвимостям. Тратить время на анализ, насколько опасна выявленная ошибка, как правило смысла нет, потому что её в любом случае надо исправлять. Вот и говорят, что нашли "возможную уязвимость".

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

56. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +1 +/
Сообщение от mumu (ok), 09-Май-17, 21:32 
overflows, overflows, overflows... Какие отмазы только инвалиды не придумывают, только бы rust не использовать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

59. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  –1 +/
Сообщение от Аноним (-), 09-Май-17, 23:20 
freetype -1996 год
ffmpeg - 2000 год
libreoffice (тогда ещё staroffice) - 1985 год
sqlite - 2000 год
gnutls - 2003 год
pcre - 1997 год
wireshark -1998 год

Вдруг в 2015 хипстеры выпускают новый ЯП, и все всё срочно должны переделывать на нём?

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

60. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  –1 +/
Сообщение от Аноним (-), 09-Май-17, 23:22 
> Какие отмазы только инвалиды не придумывают, только
> бы rust не использовать.

И да, использование частиц не/ни подучи.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

61. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  –1 +/
Сообщение от Аноним (-), 10-Май-17, 01:06 
Форум это разговорный язык, gramota.ru в другом месте.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

64. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +1 +/
Сообщение от VladSh (?), 10-Май-17, 13:47 
Разговорный язык бывает разный, как грамотный, так и безграмотный.
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

72. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +/
Сообщение от KBAKEP (ok), 12-Май-17, 18:22 
На форуме письменная речь, с помощью специальных графических знаков (знаков письменности).
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

65. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +/
Сообщение от Аноним (-), 10-Май-17, 14:10 
>> Какие отмазы только инвалиды не придумывают, только
>> бы rust не использовать.
> И да, использование частиц не/ни подучи.

И куда уважаемый Грамотей тут собрался частицу НИ вставлять?


Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

67. "правописание частиц 'не' и 'ни'"  +/
Сообщение от Аноним (-), 10-Май-17, 16:26 
Сможешь угадать с трёх раз?
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

68. "правописание частиц 'не' и 'ни'"  +2 +/
Сообщение от Аноним (-), 10-Май-17, 17:07 
> Сможешь угадать с трёх раз?

Ты не умничай, ты паль^W вставь и покажи. А мы посмеемся.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

70. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +/
Сообщение от axredneck (?), 11-Май-17, 02:31 
> инвалиды не придумывают

сие не является отрицанием, так что тут "ни"

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

69. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +1 +/
Сообщение от Ivan (??), 10-Май-17, 20:50 
Сколько комментариев и ни одного нормального. Кому-то не дает покоя один навязчиво маркетируемый статический анализатор. Кому-то все программы надо переписать на раст. Почему нет нормальных комментариев?

Ладно я попробую исправить ситуацию.

Я в свое время игрался с фаззером и искал ошибки с gcc и clang. Самая большая проблема с использованием фаззера это не найти ошибки, а заставить разработчиков их починить. Дело в том, что во время фаззинга разные ошибки проявляются с сильно разной частотой. Например вторая по частоте ошибка проявляется в 10 раз реже чем первая, третья в 10 раз реже второй и т.п. Поэтому надо либо нашел ошибку -- починил, либо иметь какой-то механизм автоматического определения дубликатов ошибок, поскольку просматривая руками много разных ошибок не отловишь -- там всё одна и та же ошибка срабатывает.

KUDOS гуглу если они смогли поставить эту штуку на поток. Я считаю, что это сделает наши программы гораздо более безопасными и корректными. Во-первых круто, что они предоставляют вычислительные мощьности для фаззинга. Во-вторых круто, что за счет этого более широкая аудитория знакомится с фаззингом и санитайзерами.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

71. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."  +1 +/
Сообщение от Аноним (-), 11-Май-17, 12:41 
> надо либо нашел ошибку -- починил, либо иметь какой-то механизм автоматического определения дубликатов ошибок, поскольку просматривая руками много разных ошибок не отловишь -- там всё одна и та же ошибка срабатывает.

Хороший фаззер отслеживает пути выполнения и умеет отличать разные ошибки от дубликатов одной и той же. К таковым относится и используемый гуглом libFuzzer (а также, например, american fuzzy lop).

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру