Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > Google представил OSS-Fuzz, сервис для анализа безопасности открытого ПО

Google представил OSS-Fuzz, сервис для анализа безопасности открытого ПО

Пятница, 2 декабря 2016 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Компания Google ввела в строй проект OSS-Fuzz, в рамках которого попыталась адаптировать свой опыт организации непрерывного fuzzing-тестирования Chromium для обеспечения тестирования любых открытых проектов. Суть fuzzing-тестирования в генерации потока всевозможных случайных комбинаций входных данных, приближенных к реальным данным (например, html-страницы с случайными параметрами тегов или изображения с аномальными заголовками), и фиксации возможных сбоев в процессе их обработки. Если какая-то последовательность приводит к краху или не соответствует ожидаемой реакции, то такое поведение с высокой вероятностью свидетельствует об ошибке или уязвимости.

Первый вариант сервиса основан на применении движка libFuzzer, ранее переданного сообществу LLVM, и набора Google Sanitizers, в который входят инструменты AddressSanitizer, MemorySanitizer, LeakSanitizer и ThreadSanitizer, позволяющие выявлять типовые проблемы с адресацией, обращением к неинициализированным областям, утечками памяти и проблемами с установкой блокировок. В будущем в OSS-Fuzz планируется обеспечить поддержку и других движков fuzzing-тестирования. Для формирования отчётов и распределённого тестирования кода задействован кластер ClusterFuzz, уже применяемый для проверки Chrome.

В настоящее время в OSS-Fuzz уже обеспечивает около 4 триллионов проверок в неделю. Тестирование охватывает 31 открытый проект, среди которых SQLite, PCRE2, openssl, boringssl, coreutils, curl, ffmpeg, freetype2, libjpeg-turbo, libpng, node.js, nss, pidgin и zlib. В процессе проверки данных проектов уже выявлено 150 ошибок.

Разработчики других открытых проектов могут добавить свои репозитории для тестирования, подготовив шаблон fuzzing-тестирования и отправив специальную заявку через pull-запрос. При обнаружении ошибок, разработчикам автоматически отправляется уведомление и создаётся приватная заявка на исправление (чтобы исключить преждевременной утечки сведений об уязвимостях, issue создаётся в системе отслеживания ошибок с ограниченным доступом). ClusterFuzz отслеживает состояние исправления ошибки и сам закрывает issue. Информация о проблеме становится публично доступной спустя 7 дней после исправления или спустя 90 дней с момента выявления ошибки, если проблема остаётся не исправлена.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 160
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

16: 40
Google официально научила Карты сохранять парковочное место |
16: 40
Microsoft начала распространение обновления Redstone 2 для Windows 10 Mobile |
16: 20
Школьник сделал протез руки для учителя |
16: 20
Samsung покажет первые решения с новой памятью MRAM уже в следующем месяце |
16: 20
Число предзаказов Xiaomi Mi 6 превысило миллион |
16: 20
Почему такая водозащита в смартфонах нам не нужна |
16: 20
Twitter впервые отчитался о падении квартальной выручки с 2013 года |
16: 20
Grsecurity прекращает бесплатное распространение своих патчей |
16: 20
Компания Twitter нарастила пользовательскую базу, но всё ещё остаётся убыточной |
15: 00
Международный рыцарский турнир Св. Георгия в Москве становится традицией |
14: 00
Мантия Земли будет впитывать углекислый газ из воздуха |
14: 00
Инженеры MIT создали систему, контролирующую жидкость с помощью света |
14: 00
Исследование: $105 тысяч в год считается низкой зарплатой в Сан-Франциско |
14: 00
Новое устройство позволит читать закрытые книги |
14: 00
Cassini сделал последние снимки Титана |
13: 40
Хакеры Pangu показали джейлбрейк iOS 10.3.1 на iPhone 7 |
13: 40
Город после людей |
13: 40
7 книг по психологии, о которых вы могли не знать |
13: 20
Беспилотный автомобиль научили «улыбаться» |
13: 20
Acer готовит к выпуску планшет Aspire Switch 3 Pro на платформе Intel Apollo Lake |
13: 20
Это лучший концепт безрамочного iPhone 8 |
13: 20
Завтра Xiaomi может представить фитнес-браслет Mi Band 3 |
13: 20
Некоторые системные платы MSI будут продаваться с установленными SSD Intel Optane |
13: 00
Таиландец убил свою дочь в прямом эфире. Facebook под давлением |
13: 00
Яндекс.Почта научилась отсортировывать письма с билетами и покупками |
12: 40
Huawei отвоевала у Oppo звание лидирующего поставщика смартфонов в Китае |
12: 40
Lenovo ликвидирует бренд Zuk |
12: 20
Nissan поможет Mobileye создавать карты высокой точности для беспилотных авто |
12: 20
Накопители Smart HRS-M1HC получили флэш-память MLC с ресурсом записи до 2000 ТБ |
12: 20
Восстановленные смартфоны Galaxy Note 7 поступят в продажу в июне по цене около $620 |
12: 20
Стала известна цена «восстановленных» Galaxy Note 7 |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003