Abo
  • Services:
Anzeige
Google will Open-Source-Projekten helfen, ihre Software mittels Fuzzing sicherer zu machen.
Google will Open-Source-Projekten helfen, ihre Software mittels Fuzzing sicherer zu machen. (Bild: Giuseppe Milo, Wikimedia Commons/CC-BY 2.0)

OSS-Fuzz: Google will Open-Source-Software mit Fuzzing sicherer machen

Google will Open-Source-Projekten helfen, ihre Software mittels Fuzzing sicherer zu machen.
Google will Open-Source-Projekten helfen, ihre Software mittels Fuzzing sicherer zu machen. (Bild: Giuseppe Milo, Wikimedia Commons/CC-BY 2.0)

Google startet eine Initiative, um wichtige Open-Source-Software mittels Fuzzing zu testen. Dabei werden Programme mit fehlerhaften Eingaben getestet.

Fuzzing ist eines der mächtigsten Tools, um Sicherheitslücken in Software zu identifizieren. Google möchte jetzt wichtigen Open-Source-Projekten dabei helfen, Lücken in ihrer Software zu identifizieren. Projekte können sich bewerben und werden dann dauerhaft auf Google-eigenen Servern getestet.

Anzeige

Große Fortschritte bei Fuzzing-Tools

Beim Fuzzing nutzt man fehlerhafte Eingabedaten und prüft, ob die Software beim Verarbeiten der Daten abstürzt. In den letzten Jahren hat es enorme Fortschritte bei der Entwicklung von Fuzzing-Software gegeben. Tools wie American Fuzzy Lop oder LibFuzzer nutzen dabei sogenanntes Coverage-basiertes Fuzzing. Dabei beobachtet das Fuzzing-Tool, welche Codepfade in einer Datei durch bestimmte Eingaben genutzt werden und passt die Fuzzing-Strategie entsprechend an.

Googles Initiative testet Software zunächst mit LibFuzzer. Später sollen andere Fuzzing-Tools dazukommen. Außerdem werden die Sanitizer-Tools von LLVM genutzt. Dabei handelt es sich um Compiler-Flags, die bestimmte Bug-Typen in C-Code finden, die normalerweise nicht zum Absturz einer Software führen.

Ein Beispiel für eine Software, die bereits von Googles OSS-Fuzz getestet wird, ist FreeType. Die Bibliothek zur Verarbeitung von Schriftarten wird von vielen Browsern und unzähligen anderen Applikationen genutzt. FreeType ist ein sehr typischer Kandidat für eine Software, die von Fuzzing stark profitieren kann. Es unterstützt sehr viele komplexe Dateiformate, beim Parsen der Font-Dateien kann viel schiefgehen.

Anhand von FreeType kann man sich ein Bild davon machen, wie Googles neues Projekt funktioniert: Findet der Fuzzer einen Bug, wird automatisch ein Bugreport in einem Google-eigenen Bugtracker angelegt und der Maintainer der Software informiert. Der Bug ist zunächst nur für den Maintainer einsehbar. Wenn der Bug gefixt ist oder wenn 90 Tage vorbei sind wird der Bugreport automatisch öffentlich.

Bewerben für OSS-Fuzz können sich Projekte, die eine große Nutzerbasis haben und wichtig für die IT-Infrastruktur sind. Um teilzunehmen müssen die Projekte dann einige Konfigurationen und Test-Code einreichen, der dann von Googles ClusterFuzz-Framework verarbeitet wird.

Für Software, die bereits relativ robust ist, ist Googles Fuzzing-Framework eine attraktive Option, um die Sicherheit weiter zu verbessern. Allerdings ist es in vielen Fällen überhaupt nicht nötig, mit viel Rechenpower Fuzzing zu betreiben. Bei vielen Softwareprojekten kann man mittels Fuzzing bereits nach Minuten Fehler finden. Dafür benötigt man keine rechenstarken Google-Server.

Der Autor dieses Texts betreibt das von der Core Infrastructure Initiative unterstützte Fuzzing Project, das ein ähnliches Ziel verfolgt. Er hat in den vergangenen Jahren hunderte Bugs mittels Fuzzing gefunden und an die entsprechenden Projekte gemeldet.


eye home zur Startseite
My1 02. Dez 2016

ist eine perfekte test suite für software die automatisch auf SQL injection und sonst...



Anzeige

Stellenmarkt
  1. diconium GmbH, Stuttgart
  2. TOMRA Sorting GmbH, Mülheim-Kärlich
  3. Loh Services GmbH & Co. KG, Monheim am Rhein
  4. VDI/VDE Innovation + Technik GmbH, Berlin


Anzeige
Top-Angebote
  1. 59,99€
  2. (heute u. a. mit Dremel-Artikeln, Roccat-Mäusen und Sony Alpha 6000 + Objektiv AF E 16-50 mm für...
  3. 389€

Folgen Sie uns
       


  1. Liberty Global

    Giga-Standard Docsis 3.1 kommt im ersten Quartal 2018

  2. Apache-Sicherheitslücke

    Optionsbleed bereits 2014 entdeckt und übersehen

  3. Tianhe-2A

    Zweitschnellster Supercomputer wird doppelt so flott

  4. Autonomes Fahren

    Japan testet fahrerlosen Bus auf dem Land

  5. Liberty Global

    Unitymedia-Mutterkonzern hat Probleme mit Amazon

  6. 18 Milliarden Dollar

    Finanzinvestor Bain übernimmt Toshibas Speichergeschäft

  7. Bundestagswahl

    Innenminister sieht bislang keine Einmischung Russlands

  8. Itchy Nose

    Die Nasensteuerung fürs Smartphone

  9. Apple

    Swift 4 erleichtert Umgang mit Strings und Collections

  10. Redundanz

    AEG stellt Online-USV für den 19-Zoll-Serverschrank vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  2. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro
  3. Apple iPhone 8 und iPhone 8 Plus lassen sich drahtlos laden

Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

  1. Re: Ein Beitrag voller Grenzfälle

    as (Golem.de) | 00:50

  2. Re: Funktioniert Netflix denn mittlerweile bei UM?

    Xiut | 00:46

  3. Re: von denen sechs sitzen können

    Patman | 00:44

  4. Re: Ganz klare Hinweise auf den Russischen...

    kelzinc | 00:36

  5. Hinweis zu Android Apps

    bbhermann | 00:11


  1. 18:10

  2. 17:45

  3. 17:17

  4. 16:47

  5. 16:32

  6. 16:22

  7. 16:16

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel