Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > Google представил OSS-Fuzz, сервис для анализа безопасности открытого ПО

Google представил OSS-Fuzz, сервис для анализа безопасности открытого ПО

Пятница, 2 декабря 2016 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Компания Google ввела в строй проект OSS-Fuzz, в рамках которого попыталась адаптировать свой опыт организации непрерывного fuzzing-тестирования Chromium для обеспечения тестирования любых открытых проектов. Суть fuzzing-тестирования в генерации потока всевозможных случайных комбинаций входных данных, приближенных к реальным данным (например, html-страницы с случайными параметрами тегов или изображения с аномальными заголовками), и фиксации возможных сбоев в процессе их обработки. Если какая-то последовательность приводит к краху или не соответствует ожидаемой реакции, то такое поведение с высокой вероятностью свидетельствует об ошибке или уязвимости.

Первый вариант сервиса основан на применении движка libFuzzer, ранее переданного сообществу LLVM, и набора Google Sanitizers, в который входят инструменты AddressSanitizer, MemorySanitizer, LeakSanitizer и ThreadSanitizer, позволяющие выявлять типовые проблемы с адресацией, обращением к неинициализированным областям, утечками памяти и проблемами с установкой блокировок. В будущем в OSS-Fuzz планируется обеспечить поддержку и других движков fuzzing-тестирования. Для формирования отчётов и распределённого тестирования кода задействован кластер ClusterFuzz, уже применяемый для проверки Chrome.

В настоящее время в OSS-Fuzz уже обеспечивает около 4 триллионов проверок в неделю. Тестирование охватывает 31 открытый проект, среди которых SQLite, PCRE2, openssl, boringssl, coreutils, curl, ffmpeg, freetype2, libjpeg-turbo, libpng, node.js, nss, pidgin и zlib. В процессе проверки данных проектов уже выявлено 150 ошибок.

Разработчики других открытых проектов могут добавить свои репозитории для тестирования, подготовив шаблон fuzzing-тестирования и отправив специальную заявку через pull-запрос. При обнаружении ошибок, разработчикам автоматически отправляется уведомление и создаётся приватная заявка на исправление (чтобы исключить преждевременной утечки сведений об уязвимостях, issue создаётся в системе отслеживания ошибок с ограниченным доступом). ClusterFuzz отслеживает состояние исправления ошибки и сам закрывает issue. Информация о проблеме становится публично доступной спустя 7 дней после исправления или спустя 90 дней с момента выявления ошибки, если проблема остаётся не исправлена.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 153
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

18: 20
Huawei готовит собственного конкурента Xiaomi Mi Mix |
18: 00
Производитель расширил серию модулей памяти HyperX Fury DDR4 |
17: 40
НАСА запустит первую миссию по исследованию межзвездного пространства |
17: 40
Apple скрестит MacBook с iPhone и iPad |
17: 00
Дротик для Dart Tag преодолевает звуковой барьер |
17: 00
10 первых моделей японских автомобилей |
17: 00
Dell выпустила линейку корпоративных ноутбуков Latitude в России |
16: 40
3D-карта Colorful GeForce GTX 1080 Ti iGame с жидкокристаллическим индикатором будет оснащена 18-фазной подсистемой питания |
16: 20
Глава Huawei рассекретил планы на полностью безрамочный смартфон |
16: 20
9 фактов о Wi-Fi в московском метро. Откуда он? |
15: 40
Как превратить iPhone в видеорегистратор. Всё необходимое |
15: 00
Пользователи подали на Microsoft в суд из-за «кривого обновления до Windows 10» |
15: 00
Путин поручил правительству создать научно-технологическую долину «Воробьёвы горы» |
14: 40
Стало известно, когда TSMC начнет серийный выпуск SoC Apple A11 |
14: 00
Первая в мире потолочная подушка безопасности |
14: 00
Кадры ядерных испытаний в HD: взрыв жилого дома |
13: 20
Выделяют ли смартфоны электромагнитные волны, опасные для человеческого здоровья |
13: 20
Результаты опроса разработчиков ПО на StackOverflow 2017 |
12: 40
«Яндекс.Деньги» отменили комиссию на внутренние переводы в мобильном приложении |
12: 20
LibreSSL 2.5.2 |
12: 20
Компания Corsair представила серию фирменных компьютерных систем One |
12: 20
Как выглядит красный iPhone 7 с чёрной панелью? Вот вам уникальный телефон |
12: 20
«Олю Николай отверг, потому что Оля – Зерг». Как Blizzard переиздает легендарную RTS |
12: 20
Парень потратил 5 лет, чтобы построить свое королевство в Minecraft. Масштабы впечатляют |
12: 20
Опубликована первая фотография смартфона Honor Note 9, который может получить безрамочный дисплей |
12: 20
Samsung не будет разделяться |
12: 20
Покупателям смартфона Samsung Galaxy S8 будет доступна новая расширенная гарантия Guard S8 |
12: 20
Появилось изображение двух новых вариантов смартфона Huawei Honor 6X |
12: 20
Аналитики IHS Markit назвали срок, когда гибкие дисплеи AMOLED превзойдут жесткие по продажам |
12: 20
LG Display поставит 700 тыс. ЖК-панелей для телевизоров компании Samsung |
12: 20
Доля дорогих смартфонов Samsung впервые опустилась ниже отметки 30% |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Август 2007: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31