вНовости программирования

Google подвела итоги изучения безопасности в рамках проекта OSS-Fuzz

Пять месяцев назад компания Google представила проект OSS-Fuzz, предназначенный для тестирования открытого ПО с целью выявления ошибок безопасности. С того момента ежедневно проводилось fuzzing-тестирование, проводя по 10 триллионов тестов в день. Благодаря вкладу Open Source сообщества было найдено более 1000 ошибок, 264 из которых представляют собой потенциальные уязвимости.

OSS-Fuzz

Распределение типов ошибок

Значимые результаты

С помощью OSS-Fuzz были найдены критические уязвимости в крупнейших open source проектах. Программа обеспечивает автоматическую проверку проекта сразу после его подключения к OSS-Fuzz, что позволяет находить и устранять ошибки до того, как они наносят вред пользователям.

Fuzzing-тестирование определяет не только ошибки, связанные с безопасностью, но также ошибки в самом коде или логические ошибки.

Наконец, OSS-Fuzz сообщил о более 300 ошибок по таймауту и нехватке памяти (из них ~75% уже исправлены). Не везде они отмечаются как ошибки, но их исправление позволяет найти более серьёзные проблемы.

Вознаграждения за улучшение безопасности open source проектов

Google стимулирует разработчиков работать над безопасностью своих проектов с помощью fuzzing-тестирования. Для включения в программу было разработано отдельное руководство. Также была расширена программа вознаграждения за обнаружение уязвимости Patch Rewards, включающая теперь вознаграждение за использование OSS-Fuzz.

Для получения вознаграждения у проекта должна быть большая база пользователей и/или высокая значимость для мировой IT-инфраструктуры. Соответствующие требованиям проекты получат 1000 долларов за первоначальное внедрение программы и до 20 000 долларов при последующем использовании в зависимости от результатов интеграции (размер выплат определяется по усмотрению Google). Также у создателей проектов есть возможность пожертвовать предполагаемые выплаты на благотворительность, тогда Google увеличит сумму вознаграждения вдвое.

Создатели OSS-Fuzz надеются, что такие меры будут способствовать улучшению качества и безопасности ещё большего числа open source проектов и ПО в целом.

Типичный программист.

Источник: Типичный программист