OSS-Fuzz: Google bietet Open-Source-Projekten Geld für neues Fuzzing
Google erweitert die seit sechs Jahren laufende Initiative OSS-Fuzz um sogenannte Sanitizer, mit denen zahlreiche weitere Klassen von Fehlern und Sicherheitslücken gefunden werden sollen. Zuvor konzentrierte sich das Projekt auch auf Grund des prinzipiellen Ansatzes eher auf Speicherfehler. Die Integration der Sanitizer durch Open-Source-Projekte will Google finanziell belohnen.
Konkret heißt es in der Ankündigung in Googles Security-Blog(öffnet im neuen Fenster), dass das Unternehmen bis zu 11.337 US-Dollar an Projekte auszahlen wolle, die mit Hilfe der neuen Sanitizer mindestens zwei Fehler fänden. Über ein weiteres Vergütungsprogramm bietet das Unternehmen bereits seit längerem Geld für die Integration neuer Projekte in die OSS-Fuzz-Infrastruktur. Die ausgezahlte Summe hängt von der Tiefe der Integration ab.
Die Anstrengungen zu den neuen Sanitizern begann Google im vergangenen Dezember als Reaktion auf die Log4Shell-Lücke. Bei einer Kooperation mit den Sicherheitsforschern von Code Intelligence konnten die Beteiligten zeigen, dass die Lücke auch durch Fuzzing gefunden werden konnte.
Google verweist darüber hinaus auf eine durch die Sanitizer gefundene Lücke in TinyGLTF. Dabei handelt es sich um eine weit verbreitete C++-Bibliothek für die Nutzung in 3D-Anwendungen. Google konnte darin eine Command-Injection-Lücke per Fuzzing finden.
Die OSS-Fuzz-Initiative startete Google auch als Reaktion auf die Heartbleed-Lücke. Auch Heartbleed hätte durch Fuzzing gefunden werden können. Beim Fuzzing nutzt man fehlerhafte Eingabedaten und prüft, ob die Software beim Verarbeiten der Daten abstürzt oder andere Probleme verursacht. Dies kann oft ein Anzeichen für eine Sicherheitslücke sein.
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.