Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Главная > Новости бизнеса > Hi-Tech > Google представил OSS-Fuzz, сервис для анализа безопасности открытого ПО

Google представил OSS-Fuzz, сервис для анализа безопасности открытого ПО

Пятница, 2 декабря 2016 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Компания Google ввела в строй проект OSS-Fuzz, в рамках которого попыталась адаптировать свой опыт организации непрерывного fuzzing-тестирования Chromium для обеспечения тестирования любых открытых проектов. Суть fuzzing-тестирования в генерации потока всевозможных случайных комбинаций входных данных, приближенных к реальным данным (например, html-страницы с случайными параметрами тегов или изображения с аномальными заголовками), и фиксации возможных сбоев в процессе их обработки. Если какая-то последовательность приводит к краху или не соответствует ожидаемой реакции, то такое поведение с высокой вероятностью свидетельствует об ошибке или уязвимости.

Первый вариант сервиса основан на применении движка libFuzzer, ранее переданного сообществу LLVM, и набора Google Sanitizers, в который входят инструменты AddressSanitizer, MemorySanitizer, LeakSanitizer и ThreadSanitizer, позволяющие выявлять типовые проблемы с адресацией, обращением к неинициализированным областям, утечками памяти и проблемами с установкой блокировок. В будущем в OSS-Fuzz планируется обеспечить поддержку и других движков fuzzing-тестирования. Для формирования отчётов и распределённого тестирования кода задействован кластер ClusterFuzz, уже применяемый для проверки Chrome.

В настоящее время в OSS-Fuzz уже обеспечивает около 4 триллионов проверок в неделю. Тестирование охватывает 31 открытый проект, среди которых SQLite, PCRE2, openssl, boringssl, coreutils, curl, ffmpeg, freetype2, libjpeg-turbo, libpng, node.js, nss, pidgin и zlib. В процессе проверки данных проектов уже выявлено 150 ошибок.

Разработчики других открытых проектов могут добавить свои репозитории для тестирования, подготовив шаблон fuzzing-тестирования и отправив специальную заявку через pull-запрос. При обнаружении ошибок, разработчикам автоматически отправляется уведомление и создаётся приватная заявка на исправление (чтобы исключить преждевременной утечки сведений об уязвимостях, issue создаётся в системе отслеживания ошибок с ограниченным доступом). ClusterFuzz отслеживает состояние исправления ошибки и сам закрывает issue. Информация о проблеме становится публично доступной спустя 7 дней после исправления или спустя 90 дней с момента выявления ошибки, если проблема остаётся не исправлена.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 181
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

18: 20
Команда Lvl5 разрабатывает карты для автопилотов с помощью водителей |
18: 20
Полнокадровая камера Canon EOS 6D Mark II уступает современным камерам формата APS-C по динамическому диапазону |
18: 20
Lenovo показала шлем daystAR и другие концепты |
18: 20
Список смартфонов, которые не могут даже позвонить в службу спасения |
18: 20
Почему важно обновиться на iOS 10.3.3 как можно скорее |
18: 20
Открыты новые свойства дальневосточных растений |
18: 00
Мессенджер Veon «Билайна» появился в App Store |
18: 00
Физики открыли самый быстрый объект на Земле |
17: 40
Plantronics BackBeat Fit: Как полюбить спорт (никак) |
17: 40
AliExpress договаривается с «Билайном» о запуске офлайн-магазинов |
17: 40
Умный термостат в скором времени представит Microsoft |
17: 40
Lamborghini прострелили насквозь из пушки |
17: 20
Исландский вулкан оказался причиной долгой зимы и голода в средневековой Европе |
17: 00
Добро пожаловать на виртуальную прогулку по МКС |
16: 20
Официально: список смартфонов, которые получат MIUI 9 |
16: 20
Красиво, качественно, дорого. Телевизоры Loewe — всё как мы любим |
16: 00
Миф и реальность глобального потепления |
16: 00
AliExpress стала принимать к оплате карты «Мир» |
16: 00
«Сбербанк» займётся выдачей микрокредитов малому бизнесу |
16: 00
Почему «Дюнкерк» – лучший фильм года, мы в восторге |
15: 20
Samsung снижает стоимость планшета Galaxy Tab S3 в России |
15: 20
Apple может представить преемника iPhone SE в августе |
13: 40
Tissot Chrono XL: настало время мыслить масштабно! |
13: 40
Microsoft представила «умный» термостат на основе помощника Cortana |
13: 20
AliExpress откроет оффлайн магазины в салонах Билайна |
13: 20
«Одноклассники» добавили кнопки призыва к действию в рекламные записи |
13: 20
Планета Обезьян: Война — ищем ошибку в названии |
13: 00
Реклама в Одноклассниках обзавелась кнопками для связи с брендом |
12: 40
Российский самолёт-амфибию Бе-200 хотят выпускать в Китае |
12: 20
Госдума разрешила авиакомпаниям не возить бесплатный багаж по невозвратным билетам |
12: 20
Взломать любой ценой: 5 обычных вещей стали игровыми консолями |
Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003