Logo von Developer

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.020 Produkten

Rainald Menge-Sonnentag 3

Googles OSS Fuzz testet Open-Source-Software auf Schwachstellen

Googles OSS Fuzz testet Open-Source-Software auf Schwachstellen

Google hat die Software zusammen mit der Core Infrastructure Initiative entwickelt, die die Sicherheit von Open-Source-Software verbessern will.

Google hat mit OSS Fuzz ein Projekt vorgestellt, das Open Source Software mittels Fuzzing auf Schwachstellen abklopft. Das Tool füttert die zu testenden Programme mit zufälligen Eingaben und deckt so potenziell Angriffsfläche auf, die menschliche Tester übersehen, die mehr oder wenig plausible Daten zum Testen verwenden. Mittels Fuzzing lassen sich beispielsweise Pufferüberläufe aufdecken, die durch unerwartete Eingaben entstehen.

Anzeige

OSS Fuzz bietet keine neue Fuzzing-Techniken, sondern wendet vorhandene an, die es verteilt im großen Rahmen ausführt. Anfangs setzt das Tool auf die Bibliothek LibFuzzer. Außerdem verwendet es Sanitizers, die verschiedene Bereinigungstools wie den LeakSanitizer zum Erkennen von Speicherlecks verbinden.

Projektbetreiber oder Freiwillige können ihre Open-Source-Software über ein Pull Request vorschlagen. Das Projekt muss eine ausreichend große Nutzerbasis oder Bedeutung für die allgemeine IT-Infrastruktur haben. Wenn OSS Fuzz eine Schwachstelle entdeckt, erzeugt es automatisch ein Issue in einem eigenen Tracker, da der in GitHub integrierte derzeit keine private Anzeige der Issues ermöglicht. Der Projektbetreiber erhält zudem eine Benachrichtigung. Sobald das Problem behoben ist, überprüft das Tool die Software erneut und schließt den Issue. Sieben Tage nach dem Schließen oder 90 Tage nach dem Report wird der Issue veröffentlicht.

Google hat das Projekt in Zusammenarbeit mit der Core Infrastructure Initiative ins Leben gerufen, die sich um die Sicherheit von Open-Source-Software bemüht. Zu den Mitgliedern gehören neben Google unter anderem Amazon Web Services, Facebook, IBM und Microsoft. Den Beirat bilden prominente Sicherheitsexperten wie Alan Cox und Bruce Schneier.

Weitere Details zu OSS Fuzz finden sich auf GitHub und in einem Blogbeitrag. Derzeit bearbeitet das Tool demnach etwa vier Billionen Testfälle pro Woche und hat bisher 150 Bugs in weit verbreiteten Open-Source-Projekten gefunden. Aktuell befindet sich OSS Fuzz in der Betaphase. Wer ein Projekt für Tests vorschlagen möchte, findet weitere Infos in der Projektbeschreibung. (rme)

3 Kommentare

Themen:

Anzeige
  1. Google belohnt OpenSource-Projekte, die Fuzzing erlauben

    Google belohnt OpenSource-Projekte, die Fuzzing erlauben

    Google hat mit seinem seit Juli 2016 entwickelten OSS-Fuzz-Roboter bereits über 1000 Bugs gefunden. Nun zahlt Google Open-Source-Projekten, die für den Bot eine Schnittstelle schaffen sogar mindestens 1000 Dollar.

  2. Microservices: Das .NET SDK für Azure Service Fabric wird Open Source

    Das .NET SDK für Azure Service Fabric wird Open Source

    Das nun als Open-Source-Software verfügbare Software Development Kit markiert einen ersten Schritt der Öffnung des Cloud-Dienstes zum Bereitstellen von Microservice-basierten Anwendungen.

  3. LineageOS-Ableger vermeidet Google-Code

    LineageOS-Ableger mit microG vermeidet proprietären Android-Code von Google

    Die microG-Entwickler haben ein Betriebssystem vorgestellt, bei dem Apps nicht auf unter Verschluss gehaltene Android-Software zurückgreifen müssen, um etwa Standort- und Benachrichtigungs-Dienste von Google nutzen zu können.

  4. Project Wycheproof: Krypto-Implementierung auf Sicherheit abklopfen

    Project Wycheproof: Krypto-Implementierung auf Sicherheit abklopfen

    Von AES über ECDH bis RSA: Entwickler können mit Googles Project Wycheproof eine Sammlung von Tests auf Krypto-Bibliotheken loslassen, um die Sicherheit eigener Software zu testen.

  1. Ist Open Source Software wirklich sicherer?

    Open Source-Software gilt als sicherer als proprietäre Software - doch stimmt das wirklich? Wir machen den Praxis-Check.

  2. Platform as a Service mit deis.io

    Platform as a Service mit deis.io

    Entwickler wollen ihre Software möglichst einfach dort haben, wo sie den Anwendern Nutzen bringt. Mit dem Modell der 12-Factor Apps und Deis Workflow steht eine Plattform bereit, die vieles an Bereitstellung und Betrieb automatisiert.

  3. Aus der Werkzeugkiste, Teil 1: Philip Ackermann

    Aus der Werkzeugkiste, Teil 1: Philip Ackermann

    In einer neuen Interview-Reihe gewähren Entwickler heise Developer einen Einblick in ihre Toolsammlung. Den Anfang macht Softwareentwickler Philip Ackermann.

  1. Neue Regeln im Zahlungsverkehr - Was auf Bankkunden zukommt

    Neue Regeln im Zahlungsverkehr - Was auf Bankkunden zukommt

    Neue europaweite Regeln sollen Geldtransfers bequemer, billiger und sicherer machen. Experten sehen darin die größte Änderung im Bankwesen seit vielen Jahren. Auch für Verbraucher gibt es einige Neuigkeiten.

  2. Neuer Miniaturisierungsrekord bei Delta-Robotern

    Neuer Miniaturisierungsrekord bei Delta-Robotern

    Forscher der Harvard University haben Industrieroboter auf eine Größe von wenigen Millimetern geschrumpft.

  3. Im Test: Nissan Qashqai 1.6 dCi

    Nissan Qashqai

    Der aktuelle Bestseller der Marke Nissan ist der Qashqai, und das mit weitem Abstand. Wir waren mit dem gerade überarbeiteten SUV in der aktuell motorisch maximalen Ausbaustufe unterwegs: Dem 1,6-Liter-Diesel mit 130 PS

  4. Apple Lisa: Als Apple die Maus von der Leine ließ

    Apple Lisa: Als Apple die Maus von der Leine ließ

    Vor 35 Jahren brachte Apple einen revolutionären Bürocomputer auf den Markt. Die Lisa war zwar ein Flop, legte aber die Grundlagen für den Erfolg des Macintosh.

Anzeige