Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > Google представил OSS-Fuzz, сервис для анализа безопасности открытого ПО

Google представил OSS-Fuzz, сервис для анализа безопасности открытого ПО

Пятница, 2 декабря 2016 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Компания Google ввела в строй проект OSS-Fuzz, в рамках которого попыталась адаптировать свой опыт организации непрерывного fuzzing-тестирования Chromium для обеспечения тестирования любых открытых проектов. Суть fuzzing-тестирования в генерации потока всевозможных случайных комбинаций входных данных, приближенных к реальным данным (например, html-страницы с случайными параметрами тегов или изображения с аномальными заголовками), и фиксации возможных сбоев в процессе их обработки. Если какая-то последовательность приводит к краху или не соответствует ожидаемой реакции, то такое поведение с высокой вероятностью свидетельствует об ошибке или уязвимости.

Первый вариант сервиса основан на применении движка libFuzzer, ранее переданного сообществу LLVM, и набора Google Sanitizers, в который входят инструменты AddressSanitizer, MemorySanitizer, LeakSanitizer и ThreadSanitizer, позволяющие выявлять типовые проблемы с адресацией, обращением к неинициализированным областям, утечками памяти и проблемами с установкой блокировок. В будущем в OSS-Fuzz планируется обеспечить поддержку и других движков fuzzing-тестирования. Для формирования отчётов и распределённого тестирования кода задействован кластер ClusterFuzz, уже применяемый для проверки Chrome.

В настоящее время в OSS-Fuzz уже обеспечивает около 4 триллионов проверок в неделю. Тестирование охватывает 31 открытый проект, среди которых SQLite, PCRE2, openssl, boringssl, coreutils, curl, ffmpeg, freetype2, libjpeg-turbo, libpng, node.js, nss, pidgin и zlib. В процессе проверки данных проектов уже выявлено 150 ошибок.

Разработчики других открытых проектов могут добавить свои репозитории для тестирования, подготовив шаблон fuzzing-тестирования и отправив специальную заявку через pull-запрос. При обнаружении ошибок, разработчикам автоматически отправляется уведомление и создаётся приватная заявка на исправление (чтобы исключить преждевременной утечки сведений об уязвимостях, issue создаётся в системе отслеживания ошибок с ограниченным доступом). ClusterFuzz отслеживает состояние исправления ошибки и сам закрывает issue. Информация о проблеме становится публично доступной спустя 7 дней после исправления или спустя 90 дней с момента выявления ошибки, если проблема остаётся не исправлена.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 91
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

18: 01
В мире продолжает увеличиваться количество смертей из-за селфи |
18: 01
Цены на SSD в этом квартале вырастут на 6-10%, поскольку спрос на флэш-память NAND превышает предложение |
17: 41
Смартфоны Samsung Galaxy A (2016) получат обновление до Android 7.0 Nougat |
17: 41
Сегодня бесплатно: 5 приложений со скидкой 100% |
17: 41
Робот Atlas научился ходить по завалам |
17: 41
Искусственный интеллект пишет рождественские гимны |
15: 01
Можно ли выбраться из горящего леса на автомобиле? |
15: 01
Портативная Тесла-пушка: испытание в slow-mo |
15: 01
Загорелся очередной смартфон Apple iPhone 6 Plus |
15: 01
99% поддельных зарядок из онлайн-магазинов небезопасны |
15: 01
Минкомсвязи разослало операторам связи инструкции на случай кибератак |
15: 01
Как очистить свою команду от скверны: гайдбук инквизитора |
14: 41
В бытовой технике Whirlpool появилась поддержка сервиса IFTTT |
14: 21
Intel, McDonald’s, Mentos, Gillette: как рождались самые узнаваемые рекламные джинглы |
14: 21
Qualcomm и Samsung презентовали самый мощный процессор Snapdragon |
14: 21
По прогнозу IDC, рынок планшетов вернется к росту в 2018 году |
14: 01
Motorola добавила новые Moto Mod с аккумулятором Mophie и доком для авто |
13: 41
В Москве пройдёт Science Slam |
13: 21
Nvidia готовит к выпуску вариант 3D-карты GeForce GTX 1060 с GPU GP104 и 3 ГБ памяти |
13: 21
Уникальное приложение поможет женщинам примерить виртуальную увеличенную грудь |
13: 01
Россияне стали покупать меньше планшетов |
13: 01
На Яндекс.Картах появились панорамы Третьяковской галереи |
12: 41
Представлен новый трейлер Mass Effect: Andromeda |
12: 41
Final Fantasy XV побила рекорд серии по стартовым продажам |
12: 41
Lenovo не видит смысла выпускать новые умные часы Moto 360 либо какое-то иное подобное устройство в ближайшем будущем |
12: 41
Объектив Tamron 18-200mm F/3.5-6.3 Di III VC (Model B011) выключает камеру Canon EOS M5 |
12: 41
Белый дом выпустил приложение 1600, которое использует дополненную реальность |
12: 41
Motorola временно свернула производство «умных» часов |
12: 41
Как правильно сушить кузов автомобиля |
12: 41
СМИ узнали о возможном переносе запуска следующего корабля «Прогресс» |
12: 41
Инновации, калькуляторы и семейный бизнес — биография предпринимателя Тадао Касио |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Август 2007: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31