Googles fuzzing-bot vindt meer dan 9.000 fouten in opensource-projecten

Googles geautmatiseerde fuzzing-bot ‘OSS-Fuzz’ heeft de afgelopen twee jaar ruim 9.000 kwetsbaarheden ontdekt in veel gebruikte opensourceprojecten.  

Bij ‘fuzzing’ worden softwaretoepassingen met grote hoeveelheden willekeurige gegevens gevoed, waarna de output grondig wordt geanalyseerd op afwijkingen en crashes. Deze techniek zorgt ervoor dat ontwikkelaars geïnformeerd worden over mogelijke fouten in de app-code.

Hoewel Google OSS-Fuzz pas in 2016 lanceerde, is het geen nieuw techniek. In 2007 lanceerde de zoekmachine ook al een andere fuzzing-bot, genaamd Flayer. De techniek bestaat inmiddels dan ook al ruim tien jaar, maar het is pas de laatste jaren dat het op grote schaal wordt gebruikt. Zo ook door bedrijven als Google, die zowel programmeurs als beveiligingsonderzoekers stimuleren deze techniek toe te passen. Eind augustus lanceerde Google ook nog een andere interne fuzzing-tool genaamd BrokenType. Deze wordt door technici van Google gebruikt om tientallen kwetsbaarheden te identificeren in componenten voor het weergeven van lettertypen.

“Tot voor kort werden problemen gevonden door OSS-Fuzz handmatig gemeld aan verschillende openbare bug-trackers door ons beveiligingsteam en gemonitord totdat ze werden opgelost. Hoewel dit rapportageproces enig succes had, was het ook overdreven ingewikkeld. Door onze fuzzingtools te verenigen en te automatiseren, hebben we onze processen nu kunnen consolideren tot één workflow, gebaseerd op OSS-Fuzz”, aldus een woordvoerder van Google in een reactie aan ZDNet.

Cloudservice

OSS-Fuzz is dan ook bewust vrijgegeven als een opensourcetool, zodat iedereen dit vanuit GitHub kan downloaden om het voor hun eigen code in te zetten. Naast dat het ook beschikbaar gesteld is als een cloudservice voor een beperkt aantal opensourceprojecten die Google zelf intern gebruikt.

“Ons doel is om zoveel mogelijk opensourceprojecten toe te laten en ervoor te zorgen dat ze voortdurend worden ‘gefuzzed’. De komende weken zullen we via e-mail contact opnemen met kritieke projecten, waarvan we denken dat ze goed aansluiten en de gemeenschap in het algemeen ondersteunen”, aldus de woordvoerder. Nieuwe projecten die worden toegelaten tot de OSS-Fuzz-cloudservice komen volgens de zoekmachine ook in aanmerking voor het zogeheten Patch Reward-programma van Google.