Logo von Developer

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Rainald Menge-Sonnentag 3

Googles OSS Fuzz testet Open-Source-Software auf Schwachstellen

Googles OSS Fuzz testet Open-Source-Software auf Schwachstellen

Google hat die Software zusammen mit der Core Infrastructure Initiative entwickelt, die die Sicherheit von Open-Source-Software verbessern will.

Google hat mit OSS Fuzz ein Projekt vorgestellt, das Open Source Software mittels Fuzzing auf Schwachstellen abklopft. Das Tool füttert die zu testenden Programme mit zufälligen Eingaben und deckt so potenziell Angriffsfläche auf, die menschliche Tester übersehen, die mehr oder wenig plausible Daten zum Testen verwenden. Mittels Fuzzing lassen sich beispielsweise Pufferüberläufe aufdecken, die durch unerwartete Eingaben entstehen.

Anzeige

OSS Fuzz bietet keine neue Fuzzing-Techniken, sondern wendet vorhandene an, die es verteilt im großen Rahmen ausführt. Anfangs setzt das Tool auf die Bibliothek LibFuzzer. Außerdem verwendet es Sanitizers, die verschiedene Bereinigungstools wie den LeakSanitizer zum Erkennen von Speicherlecks verbinden.

Projektbetreiber oder Freiwillige können ihre Open-Source-Software über ein Pull Request vorschlagen. Das Projekt muss eine ausreichend große Nutzerbasis oder Bedeutung für die allgemeine IT-Infrastruktur haben. Wenn OSS Fuzz eine Schwachstelle entdeckt, erzeugt es automatisch ein Issue in einem eigenen Tracker, da der in GitHub integrierte derzeit keine private Anzeige der Issues ermöglicht. Der Projektbetreiber erhält zudem eine Benachrichtigung. Sobald das Problem behoben ist, überprüft das Tool die Software erneut und schließt den Issue. Sieben Tage nach dem Schließen oder 90 Tage nach dem Report wird der Issue veröffentlicht.

Google hat das Projekt in Zusammenarbeit mit der Core Infrastructure Initiative ins Leben gerufen, die sich um die Sicherheit von Open-Source-Software bemüht. Zu den Mitgliedern gehören neben Google unter anderem Amazon Web Services, Facebook, IBM und Microsoft. Den Beirat bilden prominente Sicherheitsexperten wie Alan Cox und Bruce Schneier.

Weitere Details zu OSS Fuzz finden sich auf GitHub und in einem Blogbeitrag. Derzeit bearbeitet das Tool demnach etwa vier Billionen Testfälle pro Woche und hat bisher 150 Bugs in weit verbreiteten Open-Source-Projekten gefunden. Aktuell befindet sich OSS Fuzz in der Betaphase. Wer ein Projekt für Tests vorschlagen möchte, findet weitere Infos in der Projektbeschreibung. (rme)

3 Kommentare

Anzeige
  1. Google belohnt OpenSource-Projekte, die Fuzzing erlauben

    Google belohnt OpenSource-Projekte, die Fuzzing erlauben

    Google hat mit seinem seit Juli 2016 entwickelten OSS-Fuzz-Roboter bereits über 1000 Bugs gefunden. Nun zahlt Google Open-Source-Projekten, die für den Bot eine Schnittstelle schaffen sogar mindestens 1000 Dollar.

  2. Microservices: Das .NET SDK für Azure Service Fabric wird Open Source

    Das .NET SDK für Azure Service Fabric wird Open Source

    Das nun als Open-Source-Software verfügbare Software Development Kit markiert einen ersten Schritt der Öffnung des Cloud-Dienstes zum Bereitstellen von Microservice-basierten Anwendungen.

  3. GitHub veröffentlicht die Daten von 2,8 Millionen Open-Source-Projekten auf Google Big Query

    GitHub veröffentlicht die Daten über 2,8 Millionen Open-Source-Projekte auf Google Big Query

    Mit der Freigabe der Daten möchte GitHub die Datenanalyse von Open-Source-Trends über die Möglichkeiten hinaus erweitern, die GitHub Archive bietet.

  4. Project Wycheproof: Krypto-Implementierung auf Sicherheit abklopfen

    Project Wycheproof: Krypto-Implementierung auf Sicherheit abklopfen

    Von AES über ECDH bis RSA: Entwickler können mit Googles Project Wycheproof eine Sammlung von Tests auf Krypto-Bibliotheken loslassen, um die Sicherheit eigener Software zu testen.

  1. Wie teuer muss Open Access sein?

    Neuartige Workflow-Software für Open-Access-Journale verfügbar

  2. Platform as a Service mit deis.io

    Platform as a Service mit deis.io

    Entwickler wollen ihre Software möglichst einfach dort haben, wo sie den Anwendern Nutzen bringt. Mit dem Modell der 12-Factor Apps und Deis Workflow steht eine Plattform bereit, die vieles an Bereitstellung und Betrieb automatisiert.

  3. Aus der Werkzeugkiste, Teil 1: Philip Ackermann

    Aus der Werkzeugkiste, Teil 1: Philip Ackermann

    In einer neuen Interview-Reihe gewähren Entwickler heise Developer einen Einblick in ihre Toolsammlung. Den Anfang macht Softwareentwickler Philip Ackermann.

  1. "7 E-Books in 0,1 Sekunden": Vodafone startet 0,5 GBit/s-Anschlüsse in 100 deutschen Städten

    7 E-Books in 0,1 Sekunden: Vodafone startet 0,5 GBit/s-Anschlüsse in 100 deutschen Städten

    Rund 2,5 Millionen Kabel-Kunden können Vodafone-Internetanschlüsse mit bis zu 0,5 GBit/s buchen. Auch in Berlin startet der Ausbau.

  2. Gefährliche Hobby-Drohnen: Deutsche Flugsicherung bringt Wegweiser für Drohnen-Piloten

    Drohne und Flugzeug

    Private Drohnen können zur Gefahr für Flugzeuge werden. Mit einer App will die Deutsche Flugsicherung Hobbypiloten nun Orientierung bieten. Sie reagiert auf eine wachsende Zahl bedrohlicher Begegnungen.

  3. photokina: Neustart bei der weltgrößten Fotomesse

    Interview mit photokina-Manager Christoph Menke: Neustart bei der weltgrößten Fotomesse

    Die photokina wird modernisiert: U.a. soll die Fachmesse mit neuem Termin im Frühling, weniger Messetagen und jährlichem Turnus attraktiver werden. Für den Veranstalter steht viel auf dem Spiel. Ein Interview mit photokina-Manager Christoph Menke.

  4. 18-Jähriger meldet Fehler in Budapester E-Ticketing-System – und wird festgenommen

    18-Jähriger meldet Fehler in Budapester E-Ticketing-System – und wird festgenommen

    Das neue E-Ticketing-System für den Budapester ÖPNV war offenbar mit allzu heißer Nadel gestrickt. Ein 18-Jähriger Nutzer, der einen der Fehler entdeckte und dem Budapester Verkehrsunternehmen meldete, bekam daraufhin Besuch von der Polizei.

Anzeige