The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

09.05.2017 10:56  Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fuzz

Компания Google подвела первые итоги работы проекта OSS-Fuzz, созданного для организации непрерывного fuzzing-тестирования открытого ПО с целью выявления возможных проблем с безопасностью. За пять месяцев существования проекта было организовано тестирование 47 открытых проектов, в результате которого было выявлено более тысячи ошибок, из которых 264 являются потенциальными уязвимостями.

Из подтверждённых уязвимостей отмечается 10 проблем во FreeType2, 17 в FFmpeg, 33 в LibreOffice, 8 в SQLite, 10 в GnuTLS, 25 в PCRE2, 9 в gRPC и 7 в Wireshark. Благодаря организации непрерывного тестирования некоторые из ошибок удалось обнаружить спустя лишь несколько часов после внесения регрессивных изменений в кодовую базу. Кроме ошибок, которые непосредственно могут привести к уязвимостям, в ходе применения OSS-Fuzz также выявлено более 300 проблем, приводящих к прекращению обработки из-за истечения таймаута или исчерпания доступной памяти, которые не всегда рассматриваются как ошибки, но могут служить как отправная точка для поиска более серьёзных проблем.

Для стимулирования разработки сценариев проверки в OSS-Fuzz новых открытых проектов, компания Google объявила о введении в строй программы выплаты вознаграждений за интеграцию значимых и популярных открытых проектов. Компания Google готова заплатить $1000 за начальную интеграцию и до $20,000 за расширенную интеграцию, подразумевающую организацию автоматизированную проверку кода из репозиториев с охватом (code coverage) проверкой более 80% кода и интеграцией с основной инфраструктурой тестирования и обработки ошибок.

Напомним, что при fuzzing-тестировании осуществляется генерация потока всевозможных случайных комбинаций входных данных, приближенных к реальным данным (например, html-страницы с случайными параметрами тегов или изображения с аномальными заголовками), и фиксация возможных сбоев в процессе их обработки. Если какая-то последовательность приводит к краху или не соответствует ожидаемой реакции, то такое поведение с высокой вероятностью свидетельствует об ошибке или уязвимости.

  1. Главная ссылка к новости (https://opensource.googleblog....)
  2. OpenNews: Google представил OSS-Fuzz, сервис для анализа безопасности открытого ПО
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: fuzzing, test, debug
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 11:08, 09/05/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +2 +/
    Что на это ответит пивас-студия?
     
     
  • 2.2, Аноним (-), 11:23, 09/05/2017 [^] [ответить]    [к модератору]
  • +21 +/
    Придумает еще более идиотское пользовательское соглашение.
     
     
  • 3.10, Andrey_Karpov (ok), 12:36, 09/05/2017 [^] [ответить]    [к модератору]
  • –10 +/
    > Придумает еще более идиотское пользовательское соглашение.

    Платишь деньги - пользуешься. Что с ним не так?

     
     
  • 4.31, Аноним (-), 17:15, 09/05/2017 [^] [ответить]    [к модератору]
  • +/
    Что и перья в зaдницy <зачеркнуто> комментарии в код вставлять необязательно.
     
     
  • 5.34, Аноним (-), 17:17, 09/05/2017 [^] [ответить]    [к модератору]
  • +/
    > Что и перья в зaдницy <зачеркнуто> комментарии в код вставлять необязательно.

    Если что, это был вопрос :)

     
  • 5.37, Andrey_Karpov (ok), 17:42, 09/05/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Тем, кто приобрёл лицензию, естественно никакие комментарии вставлять не надо К... весь текст скрыт [показать]
     
     
  • 6.40, kai3341 (ok), 18:04, 09/05/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    Юный анонимус опеннета считает, что ему все должны и бесплатно до тех пор, пока ... весь текст скрыт [показать]
     
     
  • 7.58, Аноним (-), 22:10, 09/05/2017 [^] [ответить]    [к модератору]  
  • +7 +/
    По моему опыту о бабле в IT больше всего любят с умным видом поговорить вчерашние школьники с хеловорлдом наперевес, копеечные эникейщики, бродячие одинесники и тому подобные человечьи очистки.
     
  • 6.41, Admino (ok), 18:22, 09/05/2017 [^] [ответить]    [к модератору]  
  • +/
    > За использование открытого кода необходимо вставить иногда весьма длинный комментарий, рассказывающей о лицензии и прочих вещах.

    Кхе-кхе. И где этот комментарий в дистрибутиве PVS-Studio?

     
     
  • 7.44, Andrey_Karpov (ok), 18:31, 09/05/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Что Я совершенно не понял вопрос При чём вообще тут дистрибутив ... весь текст скрыт [показать]
     
     
  • 8.66, папа карло (?), 14:37, 10/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Не обращайте внимание, это бездельники, которым только и дело - чесать языком между последними новостями и последними мини-новостями.
     
  • 2.3, A.Stahl (ok), 11:26, 09/05/2017 [^] [ответить]    [к модератору]  
  • +/
    А у них кто-то будет спрашивать?
     
  • 2.5, oopsy (?), 12:10, 09/05/2017 [^] [ответить]     [к модератору]  
  • –3 +/
    Коллега, Андрей Карпов уже ответил на сравнение статического анализа текста в л... весь текст скрыт [показать]
     
     
  • 3.9, Andrey_Karpov (ok), 12:33, 09/05/2017 [^] [ответить]     [к модератору]  
  • –7 +/
    Раз уж речь зашла о Valgrind, хочу обратить внимание ещё вот на эту свежую стать... весь текст скрыт [показать]
     
     
  • 4.16, Аноним (-), 14:01, 09/05/2017 [^] [ответить]    [к модератору]  
  • +11 +/
    Блин, как же вы достали. Пользуетесь любым поводом, чтобы просунуть рекламу себя любимых.
     
     
  • 5.17, Andrey_Karpov (ok), 14:06, 09/05/2017 [^] [ответить]     [к модератору]  
  • –8 +/
    А почему Вы не возмущаетесь пиаром, который осуществляет Google, рассказывая о с... весь текст скрыт [показать]
     
     
  • 6.20, A.Stahl (ok), 14:41, 09/05/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    Вот когда в ваши статьи будут лезть гугл-боты и оффтопить рекламой про гуглопроекты, то тогда, возможно, будем возмущаться.
     
  • 6.23, Аноним (-), 16:09, 09/05/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    наверно по тому что количество полезного от вас и от google совсем разное.
    Кроме того ваш проект не распространяется как opensource - не даже как бесплатное при условии открытости кода проекта.
     
     
  • 7.26, Andrey_Karpov (ok), 16:28, 09/05/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Анализатор PVS-Studio является программным продуктом, на продаже которого мы зар... весь текст скрыт [показать]
     
     
  • 8.33, Аноним (-), 17:16, 09/05/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    Да зарабатывайте, хоть тресните, только с рекламой во все дыры не лезьте.


     
     
  • 9.43, Andrey_Karpov (ok), 18:30, 09/05/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Вы преувеличиваете Просто именно Вам на глаза мы попались несколько раз и тепер... весь текст скрыт [показать]
     
     
  • 10.46, Аноним (-), 18:40, 09/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Да вами уже весь интернет провонял.
     
  • 3.11, Сергей (??), 12:37, 09/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Разумные размышления от коммерсантов Да не смешите моего кота Все их размышлен... весь текст скрыт [показать]
     
     
  • 4.13, Andrey_Karpov (ok), 12:45, 09/05/2017 [^] [ответить]     [к модератору]  
  • –11 +/
    Список тех, кого Вы называете лохами ушастыми https www viva64 com ru custo... весь текст скрыт [показать]
     
     
  • 5.25, Сергей (??), 16:25, 09/05/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Да ну Ух ты, там лаборанты, микрософт и прочие ИТ паразиты известные своим гнил... весь текст скрыт [показать]
     
     
  • 6.27, Andrey_Karpov (ok), 16:39, 09/05/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    Не понимаю, при чём здесь СПО Вот есть скажем у нас в клиентах компания, зани... весь текст скрыт [показать]
     
     
  • 7.54, Аноним (-), 19:32, 09/05/2017 [^] [ответить]    [к модератору]  
  • +/
    >Ну что-же тогда правильно, что ПО закрытое.

    Теряется конкуренция, что в этом хорошего?

     
  • 7.55, Аноним (-), 20:57, 09/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Не надо смешивать солидол с яблочным джемом Или чтобы ни кто не видел что и у к... весь текст скрыт [показать]
     
  • 3.28, Аноним (-), 16:51, 09/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Давно ли их продукт стал синонимом статического анализа Других анализаторов нет... весь текст скрыт [показать]
     
  • 2.12, Andrey_Karpov (ok), 12:42, 09/05/2017 [^] [ответить]     [к модератору]  
  • –5 +/
    Мы на голом энтузиазме нашли уже более 11000 ошибок в открытых проектах https ... весь текст скрыт [показать]
     
     
  • 3.15, Аноним (-), 13:05, 09/05/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    Продайтесь гуглу. Все будут счастливы. Стандартный менталитет (зомбирование): гугель -- анжель, все остальные -- нахлебники.
     
  • 3.22, Анонс (?), 15:39, 09/05/2017 [^] [ответить]     [к модератору]  
  • +4 +/
    Потому что даже Гуглу вы не нужны Что говорит о качестве вашего изобретения ... весь текст скрыт [показать]
     
  • 3.29, Аноним (-), 16:53, 09/05/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    Размечтались, ага. Купит вас гугл, готовьте чемоданы для баксов. Ему выгоднее вкладываться в clang, чем в ваш чёрный ящик.
     
  • 3.35, Аноним (-), 17:19, 09/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > Мы на голом энтузиазме нашли уже более 11000 ошибок в открытых проектах

    <зевая> Число наверняка указано без вычета ложных срабатываний.

     
     
  • 4.38, Andrey_Karpov (ok), 17:47, 09/05/2017 [^] [ответить]     [к модератору]  
  • +/
    11000 это не количество предупреждений Это именно 11037 ошибок, которые выписан... весь текст скрыт [показать]
     
  • 2.14, eSyr (ok), 12:59, 09/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    А какое отношение фаззинг имеет к статическому анализу?
     
     
  • 3.18, Аноним (-), 14:25, 09/05/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    Никакого. Но вот если бы это был статический анализ, мы могли бы вам попробовать впарить блюющего единорога...
     
  • 2.32, Аноним (-), 17:15, 09/05/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    > Что на это ответит пивас-студия?

    Ну вот кто тебя за язык тянул, а?

     
     
  • 3.36, A.Stahl (ok), 17:27, 09/05/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    Начальник отдела маркетинга. Кто же ещё?
     
  • 3.62, Какаянахренразница (ok), 04:08, 10/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Да уж, накомлал герр Шталь нечистую силу на наши головы...
     
  • 3.63, Аноним (-), 11:27, 10/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Кто, если не я? Когда, если не сейчас?
     
  • 1.7, Аноним (-), 12:31, 09/05/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • –5 +/
    Отличный проект Я примерно так себе и представляю будущее свободного ПО Тестир... весь текст скрыт [показать]
     
     
  • 2.47, Аноним (-), 18:44, 09/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Дошло уже до юзабилити, дошло, набежали г.вноеды.

    Уже и кнопки Ок и Отмена местами поменяли, настройки выпиливают, иконки в виде бледных поганок везде. Лепотааа...

     
  • 1.21, nur (ok), 15:25, 09/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    объясните недалекому - как вообще устроен процесс обнаружения возможных (!!!) уязвимостей в коде "возможно приводящих к потенциальным уязвимостям"?
    это там какой то особо прокачаный libastral, или же есть какие то конкретные правила написания кода ?
     
     
  • 2.24, Andrey_Karpov (ok), 16:16, 09/05/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    Я понимаю это так Инструмент находит ошибки Для начала не важно какие Важно п... весь текст скрыт [показать]
     
  • 2.30, Аноним (-), 17:00, 09/05/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Очень просто Находят ошибки разных типов Определённые типы ошибок например пе... весь текст скрыт [показать]
     
  • 1.56, mumu (ok), 21:32, 09/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    overflows, overflows, overflows... Какие отмазы только инвалиды не придумывают, только бы rust не использовать.
     
     
  • 2.59, Аноним (-), 23:20, 09/05/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    freetype -1996 год ffmpeg - 2000 год libreoffice тогда ещё staroffice - 1985 г... весь текст скрыт [показать]
     
  • 2.60, Аноним (-), 23:22, 09/05/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Какие отмазы только инвалиды не придумывают, только
    > бы rust не использовать.

    И да, использование частиц не/ни подучи.

     
     
  • 3.61, Аноним (-), 01:06, 10/05/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Форум это разговорный язык, gramota.ru в другом месте.
     
     
  • 4.64, VladSh (?), 13:47, 10/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Разговорный язык бывает разный, как грамотный, так и безграмотный.
     
  • 4.72, KBAKEP (ok), 18:22, 12/05/2017 [^] [ответить]    [к модератору]  
  • +/
    На форуме письменная речь, с помощью специальных графических знаков (знаков письменности).
     
  • 3.65, Аноним (-), 14:10, 10/05/2017 [^] [ответить]    [к модератору]  
  • +/
    >> Какие отмазы только инвалиды не придумывают, только
    >> бы rust не использовать.
    > И да, использование частиц не/ни подучи.

    И куда уважаемый Грамотей тут собрался частицу НИ вставлять?


     
     
  • 4.67, Аноним (-), 16:26, 10/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Сможешь угадать с трёх раз?
     
     
  • 5.68, Аноним (-), 17:07, 10/05/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    > Сможешь угадать с трёх раз?

    Ты не умничай, ты паль^W вставь и покажи. А мы посмеемся.

     
  • 4.70, axredneck (?), 02:31, 11/05/2017 [^] [ответить]    [к модератору]  
  • +/
    > инвалиды не придумывают

    сие не является отрицанием, так что тут "ни"

     
  • 1.69, Ivan (??), 20:50, 10/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Сколько комментариев и ни одного нормального. Кому-то не дает покоя один навязчиво маркетируемый статический анализатор. Кому-то все программы надо переписать на раст. Почему нет нормальных комментариев?

    Ладно я попробую исправить ситуацию.

    Я в свое время игрался с фаззером и искал ошибки с gcc и clang. Самая большая проблема с использованием фаззера это не найти ошибки, а заставить разработчиков их починить. Дело в том, что во время фаззинга разные ошибки проявляются с сильно разной частотой. Например вторая по частоте ошибка проявляется в 10 раз реже чем первая, третья в 10 раз реже второй и т.п. Поэтому надо либо нашел ошибку -- починил, либо иметь какой-то механизм автоматического определения дубликатов ошибок, поскольку просматривая руками много разных ошибок не отловишь -- там всё одна и та же ошибка срабатывает.

    KUDOS гуглу если они смогли поставить эту штуку на поток. Я считаю, что это сделает наши программы гораздо более безопасными и корректными. Во-первых круто, что они предоставляют вычислительные мощьности для фаззинга. Во-вторых круто, что за счет этого более широкая аудитория знакомится с фаззингом и санитайзерами.

     
     
  • 2.71, Аноним (-), 12:41, 11/05/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Хороший фаззер отслеживает пути выполнения и умеет отличать разные ошибки от дуб... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor