Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Главная > Новости бизнеса > Hi-Tech > Google представил OSS-Fuzz, сервис для анализа безопасности открытого ПО

Google представил OSS-Fuzz, сервис для анализа безопасности открытого ПО

Пятница, 2 декабря 2016 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Компания Google ввела в строй проект OSS-Fuzz, в рамках которого попыталась адаптировать свой опыт организации непрерывного fuzzing-тестирования Chromium для обеспечения тестирования любых открытых проектов. Суть fuzzing-тестирования в генерации потока всевозможных случайных комбинаций входных данных, приближенных к реальным данным (например, html-страницы с случайными параметрами тегов или изображения с аномальными заголовками), и фиксации возможных сбоев в процессе их обработки. Если какая-то последовательность приводит к краху или не соответствует ожидаемой реакции, то такое поведение с высокой вероятностью свидетельствует об ошибке или уязвимости.

Первый вариант сервиса основан на применении движка libFuzzer, ранее переданного сообществу LLVM, и набора Google Sanitizers, в который входят инструменты AddressSanitizer, MemorySanitizer, LeakSanitizer и ThreadSanitizer, позволяющие выявлять типовые проблемы с адресацией, обращением к неинициализированным областям, утечками памяти и проблемами с установкой блокировок. В будущем в OSS-Fuzz планируется обеспечить поддержку и других движков fuzzing-тестирования. Для формирования отчётов и распределённого тестирования кода задействован кластер ClusterFuzz, уже применяемый для проверки Chrome.

В настоящее время в OSS-Fuzz уже обеспечивает около 4 триллионов проверок в неделю. Тестирование охватывает 31 открытый проект, среди которых SQLite, PCRE2, openssl, boringssl, coreutils, curl, ffmpeg, freetype2, libjpeg-turbo, libpng, node.js, nss, pidgin и zlib. В процессе проверки данных проектов уже выявлено 150 ошибок.

Разработчики других открытых проектов могут добавить свои репозитории для тестирования, подготовив шаблон fuzzing-тестирования и отправив специальную заявку через pull-запрос. При обнаружении ошибок, разработчикам автоматически отправляется уведомление и создаётся приватная заявка на исправление (чтобы исключить преждевременной утечки сведений об уязвимостях, issue создаётся в системе отслеживания ошибок с ограниченным доступом). ClusterFuzz отслеживает состояние исправления ошибки и сам закрывает issue. Информация о проблеме становится публично доступной спустя 7 дней после исправления или спустя 90 дней с момента выявления ошибки, если проблема остаётся не исправлена.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 226
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

17: 40
Начат серийный выпуск SSD Samsung PM1643 объемом 30,72 ТБ |
16: 40
Неанонсированные процессоры Intel Coffee Lake уже появились в ассортименте некоторых зарубежных магазинов |
16: 40
Что выгоднее: электромобиль или дизель? |
16: 20
На фото засветился прототип смартфона Sony Xperia XZ2 Compact |
16: 20
Я б взял. Карманный Wi-Fi роутер, который работает без SIM-карты |
15: 40
Зайцы зимой больше не белые из-за потепления |
15: 20
Samsung представила самый ёмкий SSD в мире |
15: 20
Samsung запатентовала летающий экран, управляемый с помощью глаз |
15: 00
Xiaomi подготовила новые наушники для аудиофилов |
15: 00
Умные часы Suunto 3 Fitness умеют адаптироваться под различные виды тренировок |
15: 00
В мобильном ВКонтакте появились браузерные уведомления |
14: 40
Новые смартфоны Samsung семейства Galaxy J также могут получить дисплеи Infinity Display |
14: 40
Первое селфи марсохода Opportunity |
13: 40
Александр Грек о швейцарской армии и ответственности |
13: 40
Virgin Hyperloop One построит тестовую трассу в Индии |
13: 20
Virgin Hyperloop One подписала с властями Индии рамочное соглашение касательно постройки ветки Hyperloop |
13: 20
Nuance убивает клавиатуру Swype для Android и iOS |
12: 40
Apple устранила баг с «убийственным» индийским символом в iPhone и Mac |
12: 40
Уральские бубинги |
12: 40
Porsche открыла самую высокогорную точку продаж |
11: 40
Оптическая иллюзия: робот-художник не поспевает за рисунком |
11: 20
Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак Spectre и Meltdown |
11: 20
Социальная сеть Uhsupp будет представлена одновременно с новым флагманом Samsung |
10: 00
Компания Spire анонсировала заточенный под майнинг блок питания SP-ATX-2000W-BTC/ETH |
10: 00
Прирост производительности у процессоров AMD Ryzen 2000 будет выше, чем можно было бы ожидать, учитывая разницу в частотах |
10: 00
Смартфон Samsung Galaxy S9+ набирает более 9000 баллов в тесте Geekbench |
09: 20
latex2html 2018 |
08: 40
Британец проехал на машине за пивом 32000 км |
07: 00
littleBits запускает более доступные инженерные наборы для детей |
07: 00
Apple выпустила macOS 10.13.3, tvOS 11.2.6, watchOS 4.2.3 |
18: 40
Чем грозит Млечному Пути неизбежное столкновение с галактикой Андромеды |
Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003