Logo von Developer

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Rainald Menge-Sonnentag 3

Googles OSS Fuzz testet Open-Source-Software auf Schwachstellen

Googles OSS Fuzz testet Open-Source-Software auf Schwachstellen

Google hat die Software zusammen mit der Core Infrastructure Initiative entwickelt, die die Sicherheit von Open-Source-Software verbessern will.

Google hat mit OSS Fuzz ein Projekt vorgestellt, das Open Source Software mittels Fuzzing auf Schwachstellen abklopft. Das Tool füttert die zu testenden Programme mit zufälligen Eingaben und deckt so potenziell Angriffsfläche auf, die menschliche Tester übersehen, die mehr oder wenig plausible Daten zum Testen verwenden. Mittels Fuzzing lassen sich beispielsweise Pufferüberläufe aufdecken, die durch unerwartete Eingaben entstehen.

OSS Fuzz bietet keine neue Fuzzing-Techniken, sondern wendet vorhandene an, die es verteilt im großen Rahmen ausführt. Anfangs setzt das Tool auf die Bibliothek LibFuzzer. Außerdem verwendet es Sanitizers, die verschiedene Bereinigungstools wie den LeakSanitizer zum Erkennen von Speicherlecks verbinden.

Private und öffentliche Benachrichtigung

Projektbetreiber oder Freiwillige können ihre Open-Source-Software über ein Pull Request vorschlagen. Das Projekt muss eine ausreichend große Nutzerbasis oder Bedeutung für die allgemeine IT-Infrastruktur haben. Wenn OSS Fuzz eine Schwachstelle entdeckt, erzeugt es automatisch ein Issue in einem eigenen Tracker, da der in GitHub integrierte derzeit keine private Anzeige der Issues ermöglicht. Der Projektbetreiber erhält zudem eine Benachrichtigung. Sobald das Problem behoben ist, überprüft das Tool die Software erneut und schließt den Issue. Sieben Tage nach dem Schließen oder 90 Tage nach dem Report wird der Issue veröffentlicht.

Google hat das Projekt in Zusammenarbeit mit der Core Infrastructure Initiative ins Leben gerufen, die sich um die Sicherheit von Open-Source-Software bemüht. Zu den Mitgliedern gehören neben Google unter anderem Amazon Web Services, Facebook, IBM und Microsoft. Den Beirat bilden prominente Sicherheitsexperten wie Alan Cox und Bruce Schneier.

Weitere Details zu OSS Fuzz finden sich auf GitHub und in einem Blogbeitrag. Derzeit bearbeitet das Tool demnach etwa vier Billionen Testfälle pro Woche und hat bisher 150 Bugs in weit verbreiteten Open-Source-Projekten gefunden. Aktuell befindet sich OSS Fuzz in der Betaphase. Wer ein Projekt für Tests vorschlagen möchte, findet weitere Infos in der Projektbeschreibung. (rme)

3 Kommentare

Themen:

Anzeige
  1. Microservices: Das .NET SDK für Azure Service Fabric wird Open Source

    Das .NET SDK für Azure Service Fabric wird Open Source

    Das nun als Open-Source-Software verfügbare Software Development Kit markiert einen ersten Schritt der Öffnung des Cloud-Dienstes zum Bereitstellen von Microservice-basierten Anwendungen.

  2. Project Wycheproof: Krypto-Implementierung auf Sicherheit abklopfen

    Project Wycheproof: Krypto-Implementierung auf Sicherheit abklopfen

    Von AES über ECDH bis RSA: Entwickler können mit Googles Project Wycheproof eine Sammlung von Tests auf Krypto-Bibliotheken loslassen, um die Sicherheit eigener Software zu testen.

  3. GitHub veröffentlicht die Daten von 2,8 Millionen Open-Source-Projekten auf Google Big Query

    GitHub veröffentlicht die Daten über 2,8 Millionen Open-Source-Projekte auf Google Big Query

    Mit der Freigabe der Daten möchte GitHub die Datenanalyse von Open-Source-Trends über die Möglichkeiten hinaus erweitern, die GitHub Archive bietet.

  4. HPE gibt Open-Source-Werkzeuge für "The Machine" frei

    HPE gibt Open-Source-Entwicklern Zugang zu "The Machine"

    HPE hat auf der Discover 2016 vier Werkzeuge als Open-Source-Software bereitgestellt, mit denen sich Anwendungen für den neuen Rechner entwickeln lassen sollen.

  1. Wie teuer muss Open Access sein?

    Neuartige Workflow-Software für Open-Access-Journale verfügbar

  2. Platform as a Service mit deis.io

    Platform as a Service mit deis.io

    Entwickler wollen ihre Software möglichst einfach dort haben, wo sie den Anwendern Nutzen bringt. Mit dem Modell der 12-Factor Apps und Deis Workflow steht eine Plattform bereit, die vieles an Bereitstellung und Betrieb automatisiert.

  3. Aus der Werkzeugkiste, Teil 1: Philip Ackermann

    Aus der Werkzeugkiste, Teil 1: Philip Ackermann

    In einer neuen Interview-Reihe gewähren Entwickler heise Developer einen Einblick in ihre Toolsammlung. Den Anfang macht Softwareentwickler Philip Ackermann.

  1. Reportage: Mercedes Classic Center Fellbach

    Im Mercedes Classic Center Fellbach

    Im Mercedes Classic Center werden alle je gebauten Mercedes- und Daimler-Modelle betreut, gepflegt, repariert, restauriert und notfalls wieder neu aufgebaut. Wenn man möchte, bekommt man einen viele Jahrzehnte alten Neuwagen

  2. Zwei Jahre Apple Watch: Fast so groß wie Rolex

    Apple Watch in Berlin

    In dieser Woche feiert die Computeruhr aus Cupertino runden Geburtstag. Mac & i blickt zurück.

  3. Siemens übernimmt Firma hinter "DB Navigator" der Bahn

    !!! Siemens übernimmt Firma hinter "DB Navigator" der Bahn

    Siemens will die Firma HaCon akquirieren, um sein Angebot an branchenspezifischer Software im Transportwesen zu erweitern. Die von Endanwender und Firmenkunden eingesetzte Software von HaCon ist häufig bei Zugreisen involviert.

  4. Kommentar zu Amazons Echo Look: 1 und 3 und 2 und los!

    Kommentar: Amazons Echo Look - 1 und 3 und 2 und los!

    Mit dem Look erweitert Amazon seine Echo-Serie um ein Gerät mit Kamera, das Modetipps gibt. Dabei vergisst der Online-Händler, an der eigentlichen Baustelle zu arbeiten: Alexa.

Anzeige