• IT-Karriere:
  • Services:

OSS-Fuzz: Google will Open-Source-Software mit Fuzzing sicherer machen

Google startet eine Initiative, um wichtige Open-Source-Software mittels Fuzzing zu testen. Dabei werden Programme mit fehlerhaften Eingaben getestet.

Artikel veröffentlicht am , Hanno Böck
Google will Open-Source-Projekten helfen, ihre Software mittels Fuzzing sicherer zu machen.
Google will Open-Source-Projekten helfen, ihre Software mittels Fuzzing sicherer zu machen. (Bild: Giuseppe Milo, Wikimedia Commons/CC-BY 2.0)

Fuzzing ist eines der mächtigsten Tools, um Sicherheitslücken in Software zu identifizieren. Google möchte jetzt wichtigen Open-Source-Projekten dabei helfen, Lücken in ihrer Software zu identifizieren. Projekte können sich bewerben und werden dann dauerhaft auf Google-eigenen Servern getestet.

Große Fortschritte bei Fuzzing-Tools

Stellenmarkt
  1. Team GmbH, Paderborn
  2. Qvest Media GmbH, Halle (Saale)

Beim Fuzzing nutzt man fehlerhafte Eingabedaten und prüft, ob die Software beim Verarbeiten der Daten abstürzt. In den letzten Jahren hat es enorme Fortschritte bei der Entwicklung von Fuzzing-Software gegeben. Tools wie American Fuzzy Lop oder LibFuzzer nutzen dabei sogenanntes Coverage-basiertes Fuzzing. Dabei beobachtet das Fuzzing-Tool, welche Codepfade in einer Datei durch bestimmte Eingaben genutzt werden und passt die Fuzzing-Strategie entsprechend an.

Googles Initiative testet Software zunächst mit LibFuzzer. Später sollen andere Fuzzing-Tools dazukommen. Außerdem werden die Sanitizer-Tools von LLVM genutzt. Dabei handelt es sich um Compiler-Flags, die bestimmte Bug-Typen in C-Code finden, die normalerweise nicht zum Absturz einer Software führen.

Ein Beispiel für eine Software, die bereits von Googles OSS-Fuzz getestet wird, ist FreeType. Die Bibliothek zur Verarbeitung von Schriftarten wird von vielen Browsern und unzähligen anderen Applikationen genutzt. FreeType ist ein sehr typischer Kandidat für eine Software, die von Fuzzing stark profitieren kann. Es unterstützt sehr viele komplexe Dateiformate, beim Parsen der Font-Dateien kann viel schiefgehen.

Anhand von FreeType kann man sich ein Bild davon machen, wie Googles neues Projekt funktioniert: Findet der Fuzzer einen Bug, wird automatisch ein Bugreport in einem Google-eigenen Bugtracker angelegt und der Maintainer der Software informiert. Der Bug ist zunächst nur für den Maintainer einsehbar. Wenn der Bug gefixt ist oder wenn 90 Tage vorbei sind wird der Bugreport automatisch öffentlich.

Bewerben für OSS-Fuzz können sich Projekte, die eine große Nutzerbasis haben und wichtig für die IT-Infrastruktur sind. Um teilzunehmen müssen die Projekte dann einige Konfigurationen und Test-Code einreichen, der dann von Googles ClusterFuzz-Framework verarbeitet wird.

Für Software, die bereits relativ robust ist, ist Googles Fuzzing-Framework eine attraktive Option, um die Sicherheit weiter zu verbessern. Allerdings ist es in vielen Fällen überhaupt nicht nötig, mit viel Rechenpower Fuzzing zu betreiben. Bei vielen Softwareprojekten kann man mittels Fuzzing bereits nach Minuten Fehler finden. Dafür benötigt man keine rechenstarken Google-Server.

Der Autor dieses Texts betreibt das von der Core Infrastructure Initiative unterstützte Fuzzing Project, das ein ähnliches Ziel verfolgt. Er hat in den vergangenen Jahren hunderte Bugs mittels Fuzzing gefunden und an die entsprechenden Projekte gemeldet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. (u. a. RTX 2080 ROG Strix Gaming Advanced für 699€, RTX 2080 SUPER Dual Evo OC für 739€ und...

My1 02. Dez 2016

ist eine perfekte test suite für software die automatisch auf SQL injection und sonst...


Folgen Sie uns
       


55-Zoll-OLED-Monitor von Alienware - Test

Mit 120 Hz, 4K-Auflösung und 55-Zoll-Panel ist der AW5520qf ein riesiger Gaming-Monitor. Darauf macht es besonders Spaß, Monster in Borderlands 3 zu besiegen. Wäre da nicht die ziemlich niedrige Ausleuchtung.

55-Zoll-OLED-Monitor von Alienware - Test Video aufrufen
Interview: Die Liebe für den Flight Simulator war immer da
Interview
"Die Liebe für den Flight Simulator war immer da"

Die prozedural erstellte Erde, der Quellcode vom letzten MS-Flugsimulator und eine Gemeinsamkeit mit Star Citizen: Golem.de hat mit Jörg Neumann über Technik und das Fliegen gesprochen. Neumann leitet bei Microsoft die Entwicklung des Flight Simulator.
Ein Interview von Peter Steinlechner

  1. Flug-Simulation Microsoft bereitet Alphatest des Flight Simulator vor
  2. Microsoft Neuer Flight Simulator soll Fokus auf Simulation legen

Macbook Pro 16 Zoll im Test: Ein Schritt zurück sind zwei Schritte nach vorn
Macbook Pro 16 Zoll im Test
Ein Schritt zurück sind zwei Schritte nach vorn

Keine Butterfly-Tastatur mehr, eine physische Escape-Taste, dünnere Displayränder: Es scheint, als habe Apple beim Macbook Pro 16 doch auf das Feedback der Nutzer gehört und ist einen Schritt zurückgegangen. Golem.de hat sich angeschaut, ob sich die Änderungen auch lohnen.
Ein Test von Oliver Nickel

  1. Audioprobleme Knackgeräusche beim neuen Macbook Pro 16 Zoll
  2. iFixit Kleber und Nieten im neuen Macbook Pro 16 Zoll
  3. Macbook Pro Apple gibt fehlerhafte Butterfly-Tastatur auf

Mikrocontroller: Sensordaten mit Micro Python und ESP8266 auslesen
Mikrocontroller
Sensordaten mit Micro Python und ESP8266 auslesen

Python gilt als relativ einfach und ist die Sprache der Wahl in der Data Science und beim maschinellen Lernen. Aber die Sprache kann auch anders. Mithilfe von Micro Python können zum Beispiel Sensordaten ausgelesen werden. Ein kleines Elektronikprojekt ganz ohne Löten.
Eine Anleitung von Dirk Koller

  1. Programmiersprache Python verkürzt Release-Zyklus auf ein Jahr
  2. Programmiersprache Anfang 2020 ist endgültig Schluss für Python 2
  3. Micropython Das Pyboard D ist ein Steckbausatz für IoT-Bastler

    •  /