Написать пост

Google подвела итоги изучения безопасности в рамках проекта OSS-Fuzz

Аватар Дарья Вандакурова
Дарья Вандакурова

Пять месяцев назад Google запустила проект OSS-Fuzz, созданный для тестирования open source проектов. Пришло время подвести некоторые итоги.

Пять месяцев назад компания Google представила проект OSS-Fuzz, предназначенный для тестирования открытого ПО с целью выявления ошибок безопасности. С того момента ежедневно проводилось fuzzing-тестирование, проводя по 10 триллионов тестов в день. Благодаря вкладу Open Source сообщества было найдено более 1000 ошибок, 264 из которых представляют собой потенциальные уязвимости.

Google подвела итоги изучения безопасности в рамках проекта OSS-Fuzz 1

Значимые результаты

С помощью OSS-Fuzz были найдены критические уязвимости в крупнейших open source проектах. Программа обеспечивает автоматическую проверку проекта сразу после его подключения к OSS-Fuzz, что позволяет находить и устранять ошибки до того, как они наносят вред пользователям.

Fuzzing-тестирование определяет не только ошибки, связанные с безопасностью, но также ошибки в самом коде или логические ошибки.

Наконец, OSS-Fuzz сообщил о более 300 ошибок по таймауту и нехватке памяти (из них ~75% уже исправлены). Не везде они отмечаются как ошибки, но их исправление позволяет найти более серьёзные проблемы.

Вознаграждения за улучшение безопасности open source проектов

Google стимулирует разработчиков работать над безопасностью своих проектов с помощью fuzzing-тестирования. Для включения в программу было разработано отдельное руководство. Также была расширена программа вознаграждения за обнаружение уязвимости Patch Rewards, включающая теперь вознаграждение за использование OSS-Fuzz.

Для получения вознаграждения у проекта должна быть большая база пользователей и/или высокая значимость для мировой IT-инфраструктуры. Соответствующие требованиям проекты получат 1000 долларов за первоначальное внедрение программы и до 20 000 долларов при последующем использовании в зависимости от результатов интеграции (размер выплат определяется по усмотрению Google). Также у создателей проектов есть возможность пожертвовать предполагаемые выплаты на благотворительность, тогда Google увеличит сумму вознаграждения вдвое.

Создатели OSS-Fuzz надеются, что такие меры будут способствовать улучшению качества и безопасности ещё большего числа open source проектов и ПО в целом.

Следите за новыми постами
Следите за новыми постами по любимым темам
373 открытий373 показов
Также рекомендуем
Обложка поста Как защитить свой Python-код
Как защитить свой Python-код
Описали четыре техники увеличения безопасности кода и подобрали примеры к каждой из них. В статье вы познакомитесь не только с универсальными приемами, но и специфическими – для серверов и ботов.
Обложка поста Что такое нефункциональное ручное тестирование и какие инструменты использовать
Что такое нефункциональное ручное тестирование и какие инструменты использовать
QA-отдел MediaSoft рассказал, с чего начинать нефункциональное тестирование и какие инструменты пригодятся для автоматизации.
Обложка поста Из цикла ETL: Создаем Tripwire-бота на aiogram, часть 1
Из цикла ETL: Создаем Tripwire-бота на aiogram, часть 1
Рассказали, как создать привлекающего на курс по управлению проектами Telegram-бота на aiogram, с полным разбором кода.
Обложка поста Как начинающим разработчикам начать путь в Open Source
Как начинающим разработчикам начать путь в Open Source
Рассказываем, как начинающим разработчикам шаг шагом начать свой путь в работе с Open Source технологиями на GitHub.