Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Главная > Новости бизнеса > Hi-Tech > Google представил OSS-Fuzz, сервис для анализа безопасности открытого ПО

Google представил OSS-Fuzz, сервис для анализа безопасности открытого ПО

Пятница, 2 декабря 2016 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Компания Google ввела в строй проект OSS-Fuzz, в рамках которого попыталась адаптировать свой опыт организации непрерывного fuzzing-тестирования Chromium для обеспечения тестирования любых открытых проектов. Суть fuzzing-тестирования в генерации потока всевозможных случайных комбинаций входных данных, приближенных к реальным данным (например, html-страницы с случайными параметрами тегов или изображения с аномальными заголовками), и фиксации возможных сбоев в процессе их обработки. Если какая-то последовательность приводит к краху или не соответствует ожидаемой реакции, то такое поведение с высокой вероятностью свидетельствует об ошибке или уязвимости.

Первый вариант сервиса основан на применении движка libFuzzer, ранее переданного сообществу LLVM, и набора Google Sanitizers, в который входят инструменты AddressSanitizer, MemorySanitizer, LeakSanitizer и ThreadSanitizer, позволяющие выявлять типовые проблемы с адресацией, обращением к неинициализированным областям, утечками памяти и проблемами с установкой блокировок. В будущем в OSS-Fuzz планируется обеспечить поддержку и других движков fuzzing-тестирования. Для формирования отчётов и распределённого тестирования кода задействован кластер ClusterFuzz, уже применяемый для проверки Chrome.

В настоящее время в OSS-Fuzz уже обеспечивает около 4 триллионов проверок в неделю. Тестирование охватывает 31 открытый проект, среди которых SQLite, PCRE2, openssl, boringssl, coreutils, curl, ffmpeg, freetype2, libjpeg-turbo, libpng, node.js, nss, pidgin и zlib. В процессе проверки данных проектов уже выявлено 150 ошибок.

Разработчики других открытых проектов могут добавить свои репозитории для тестирования, подготовив шаблон fuzzing-тестирования и отправив специальную заявку через pull-запрос. При обнаружении ошибок, разработчикам автоматически отправляется уведомление и создаётся приватная заявка на исправление (чтобы исключить преждевременной утечки сведений об уязвимостях, issue создаётся в системе отслеживания ошибок с ограниченным доступом). ClusterFuzz отслеживает состояние исправления ошибки и сам закрывает issue. Информация о проблеме становится публично доступной спустя 7 дней после исправления или спустя 90 дней с момента выявления ошибки, если проблема остаётся не исправлена.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 194
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

18: 40
Смартфон Nokia 9: действительно безрамочный |
18: 40
У Xiaomi вышел новый робот-пылесос Roborock Sweep One |
18: 40
В России появился смартфон Micromax Canvas 2 (2017) |
18: 40
Iiyama показала монитор ProLite XUB2790HS-2 с матрицей АН-IPS |
18: 40
В России смартфоны iPhone X и iPhone 8 продаются по самым высоким ценам |
18: 40
Оператор VK Mobile обновил базовый тарифный план |
18: 40
3 дня в Грузии. Что посмотреть и куда пойти |
18: 20
Покупка iPhone X за рубежом и у нас: рассуждения о нюансах! |
18: 20
Huawei высмеяла Face ID и пообещала представить по-настоящему защищенный смартфон |
18: 20
Роботы-игрушки, которые можно купить |
17: 40
Мы нашли самую дикую сумку для пояса |
17: 40
«Альфа-банк» наймёт на работу подростков для разработки и продвижения молодежных продуктов |
17: 20
Десант к бою готов! Вышла долгожданная игра Iron Marines от создателей Kingdom Rush |
17: 20
iPhone X не должен быть инновацией, это нормально |
16: 20
Владельцы смартфонов на Android притворяются, что у них iPhone X |
16: 20
Tesla запатентовала станцию быстрой замены батарей |
16: 20
Авторы популярных Telegram-каналов о продаже «Бывшей» |
16: 00
Сегодняшний апдейт iOS 11 убьет старые 32-битные приложения |
16: 00
Сеть коворкингов «Ключ» привлекла 150 млн рублей от совладельца «Технониколя» и основателя CarPrice |
15: 40
Безрамочный смартфон Nubia показался на рендере |
15: 40
Что если свободы воли не существует? |
15: 20
Как подготовиться к обновлению до iOS 11 |
15: 20
Как создаются бюджетные спецэффекты в стиле "Матрицы": хитрости режиссера |
15: 00
Пользователи PS4 и Xbox One впервые смогли сыграть между собой |
15: 00
ФАС проверит ранжирование сайтов в поисковой выдаче Google и «Яндекса» |
15: 00
Microsoft назначила большой анонс по Windows Mixed Reality на 3 октября |
14: 40
Acer выпустила игровые ноутбуки Predator Helios 300 в России |
14: 20
Вещь дня: Bluetooth-гарнитура Shure со сменным проводом |
14: 20
Google научит камеру Pixel 2 различать окружающие объекты |
14: 20
ФАС продлила рассмотрение сделки «Яндекс.Такси» и Uber до середины ноября |
14: 20
Опубликована фотография смартфона Huawei Mate 10 |
Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Февраль 2008: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29