Google är en ivrig bidragsgivare till öppen och säker kod, det kan ingen ta ifrån dem. Nu rapporterar Google att deras molnbaserade fuzzer OSS-Fuzz hittat 9000 buggar i olika öppen-källkod-projekt sen tjänsten lanserades i december 2016, skriver ZDNet.

En fuzzer är ett program som testkör kod genom att mata programmet med stora mängder av allsköns skräp-input för att upptäcka felaktigheter i output eller analysera krascher. En fuzzer ska ”plåga” programmet. Detta ger utvecklarna bra information om var det kan finnas buggar i koden. Oförutsedda indata är ett vanligt sätt att hacka applikationer, exempel på det är buffer-overflows och sql-injektioner.

Fuzzing är inte något nytt, men populariteten för metoden har tagit fart på senare år, inte minst för att just Google tryckt på för att utvecklare och säkerhetsanalytiker ska använda den. Därför har Google själva släppt flera fuzzers med öppen källkod på senare år, till exempel Flayer, men det särklass största är OSS-Fuzz.

Daniel Stenberg på Mozilla Foundation, och grundaren av skriptspråket Curl har använt fuzzers under lång tid. ”Fuzzing i allmänhet och Googles OSS-Fuzz i synnerhet är grymt bra. OSS-Fuzz är också fantastiskt bra på att skapa ett ett minimalt test-case för problemet de hittar och säga typ ’kör exakt det här så kraschar det’ – vilket förstås förenklar debugging och hantering av problemet avsevärt”.

– Av de säkerhetsproblem vi får inrapporterade på senare tid från säkerhetsfolk så tror jag de flesta är hittade med hjälp av fuzzers, skriver Daniel Stenberg i ett mejl till Techworld.

OSS-Fuzz släpptes först som ett paket vem som helst kunde, och kan än idag, ladda ned och köra mot sin kod, men senare har Google startat en molntjänst baserad på OSS-Fuzz för ett utvalt antal öppen källkods-projekt som använder intern eller som de anser vara extra användbara för det större ekosystemet. I maj 2017 tilläts 47 projekt delta i molntjänstversionen av OSS-Fuzz, men detta antal ska nu utökas enligt ett uttalande från Google. Ett av de utvalda projekten är Curl.

– OSS-Fuzz är en fantastisk tillgång för Curl-projektet och är en av de bästa verktygen vi har för hitta buggar utanför våra ordinarie tester och analysverktyg. De har till dags dato hittat minst sex stycken säkerhetsproblem som lett fram till CVE:er för Curl, och ett otal andra mindre allvarliga buggar som vi fixat och därmed gjort vår kod och våra produkter bättre. Totalt 48 stycken sedan september 2017, berättar Daniel Stenberg.

– Jag vet inte hur många miljarder rundor med Curl-koden vi kört i OSS-Fuzz.

Tillsammans med molntjänsten har Google även delat ut belöningar till dem som hittat buggar i öppen-källkod-projekt med hjälp av OSS-Fuzz, allt från 500 dollar till 20 000 dollar, plus eventuell bonus om projekten djupintegrerat sin kod med OSS-Fuzz.

I slutet av augusti släppte Google ännu en fuzzer som öppen källkod. Verktyget vid namn BrokenType används av Googles utvecklare för att hitta sårbarheter i rastreringskomponenter i typsnitt.

Läs också:
KTH-forskare har byggt en bot som patchar kod lika bra som en människa
Osäkert PHP 5 ännu osäkrare efter årsskiftet