谷歌的os-fuzz捕虫机器人一直在努力工作。最近几个月,已经发现了1000多个bug。
根据Chrome安全工程师Oliver Chang和Abhishek Arya、软件工程师Kostya Serebryany和谷歌安全项目经理Josh Armour的说法,os-fuzz robot在过去五个月里一直在网上搜索可利用的安全漏洞。
OSS-Fuzz机器人使用一种叫做fuzzing的技术来寻找bug。模糊化是一种自动方法,它使用大量随机数据来使系统或软件崩溃。通过这样做,模糊化可以快速找到错误和潜在的漏洞,而无需安全专业人员做很多工作。
这个过程本身是完美的。随着今年os-fuzz在整个社区的引入,每天有超过10万亿的测试输入被处理。与开源社区一起,在47个项目中发现了1000多个bug,其中264个是潜在的安全漏洞。
发现的错误和潜在的安全问题包括堆缓冲区溢出、未使用的漏洞、堆栈溢出和数据泄漏。然而,模糊化不仅关注与记忆相关的问题,还记录正确性或逻辑错误。
值得注意的是,os-fuzz在一些备受关注的项目中发现了大量的安全漏洞,这些项目为知名的消费类软件提供了支持和组件。FreeType2共发现10个bug,FFmpeg 17个,libre office 33个,SQLite 3 8个,GnuTLS 10个,PCRE2 25个,gRPC个,Wireshark 7个。(有些发现与其他研究人员的工作相冲突,有些发现是有限的。)
Google :表示,“一旦一个项目被集成到os-fuzz中,os-fuzz的连续和自动特性意味着我们经常会在上游资源库引入回归后的几个小时内捕捉到这些问题,从而减少用户受到影响的机会。”
谷歌模糊化作为一种安全工具,应该被主流采用。为此,这家科技巨头正在扩大补丁奖励计划,以包括对使用机器人的信息技术专业人员的奖励。
为了满足这一要求,项目必须拥有庞大的用户群或全球信息技术基础设施。当OSS-Fuzz首次推出时,它将获得1000美元的奖励,谷歌认为这是“理想的集成”,最高可达2万美元。如果供应商和员工选择将他们的奖励捐赠给慈善机构,这个数额将翻倍。
有兴趣的可以联系谷歌申请。
谷歌团队说:“我们要感谢现有的贡献者,他们整合了他们的项目,修复了无数的bug。”“我们希望看到更多的项目集成到os-fuzz中,并在开发软件时更多地使用fuzzing作为标准实践。”