Google mendesak komunitas open source untuk menguji kode uji fuzz • Daftar

Tim keamanan sumber terbuka Google mengatakan OSS-Fuzz, layanan kebingungan komunitas, telah membantu memperbaiki lebih dari 8.000 kerentanan dan 26.000 bug lain dalam proyek sumber terbuka sejak dimulai pada 2016.

Grup ingin melihat pengembang open source melakukan lebih banyak kebingungan untuk membuat dunia menjadi tempat yang lebih baik, atau setidaknya membuat perangkat lunak menjadi tempat yang lebih aman. Jadi mereka menawarkan insentif nyata untuk poin eksposur.

Kebingungan, atau pengujian fuzz, adalah teknik pengujian perangkat lunak yang mencoba menemukan kesalahan dengan menyuntikkan data acak atau pseudorandom ke dalam program. Dikembangkan oleh Profesor Ilmu Komputer UW-Madison Barton Miller Pada tahun 1989 [PDF]. Miller ingin memahami bagaimana kebisingan dari hujan badai mengganggu koneksi modem dial-upnya ke Unix, dan ini membuka bidang penelitian baru dalam analisis kode.

Google diluncurkan OSS-Fuzz Pada tahun 2016 sebagai tanggapan atas hati yang lemahcacat buffer overflow memori dapat dideteksi dengan uji fuzz.

Jonathan Metzmann dan Dong Liu, dari Tim Keamanan Sumber Terbuka Google, menjelaskan dalam Postingan blog.

OSS-Fuzz saat ini sedang memeriksa sekitar 700 proyek sumber terbuka yang penting untuk menemukan bug dan ditemukan pada bulan Juli cacat serius Dalam proyek TinyGLTF, pustaka yang bergantung pada fungsi pustaka C wordexp() untuk memperluas jalur file ke jalur yang tidak tepercaya dari file input.

“ini kelemahan Ini menunjukkan bahwa adalah mungkin untuk memasukkan backtick ke dalam format file input glTF dan memungkinkan perintah untuk dieksekusi selama penguraian, ”jelas Metzman dan Liu.

Setiap proyek yang mengintegrasikan TinyGLTF sebagai ketergantungan cenderung lemah, jadi ini adalah kemenangan yang berarti untuk kebingungan.

Metzmann dan Liu mengaitkan penemuan itu dengan pekerjaan yang dilakukan tim keamanan mereka Desember lalu Menanggapi kerentanan Log4Shell. Upaya ini mengarah pada pengembangan pembersih baru yang dapat mengidentifikasi kesalahan yang dapat dieksploitasi untuk mengeksekusi perintah arbitrer dalam bahasa pemrograman apa pun. Salah satunya disinfektan. Sistem Sandikreditkan dengan menemukan kesalahan TinyGLTF.

READ  Pembaruan Berita Teknologi Langsung Hari Ini: Badai Matahari, Asteroid, Larangan Aplikasi NASA di Google Play Store

Bekerja menjadi kode proof-of-concept untuk pemecahan masalah dalam program JavaScript dan Python, dan dengan bantuan perusahaan keamanan Code Intelligence, menciptakan pembersih untuk berbagai masalah khusus untuk Java. Menurut Metzman dan Liu, beberapa kerentanan de-serialisasi dan injeksi LDAP telah ditemukan menggunakan alat ini dan sedang menunggu pengungkapan terkoordinasi.

Metzman dan Liu mendorong mereka yang terlibat dalam komunitas open source untuk merangkul ambiguitas dan melambaikan kemungkinan penghargaan. Mereka yang mengintegrasikan sterilizer baru ke dalam OSS-Fuzz, atau mesin misterius seperti Jazzer, yang menemukan setidaknya dua kerentanan yang sebelumnya tidak teridentifikasi dalam proyek OSS-Fuzz, akan menerima hadiah sebesar $11.337.

Sebaliknya, mereka yang mengintegrasikan proyek baru yang cukup penting ke dalam OSS-Fuzz – basis pengguna yang besar dan/atau signifikan dari infrastruktur TI global – adalah Layak untuk hadiah Mulai dari Rp 1.000 hingga Rp 20.000.

Metzman dan Liu menyimpulkan bahwa “kebingungan masih memiliki banyak potensi yang belum ditemukan dalam menemukan lebih banyak kategori kerentanan.” ®

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *