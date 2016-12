Google hat die Software zusammen mit der Core Infrastructure Initiative entwickelt, die die Sicherheit von Open-Source-Software verbessern will.

Google hat mit OSS Fuzz ein Projekt vorgestellt, das Open Source Software mittels Fuzzing auf Schwachstellen abklopft. Das Tool füttert die zu testenden Programme mit zufälligen Eingaben und deckt so potenziell Angriffsfläche auf, die menschliche Tester übersehen, die mehr oder wenig plausible Daten zum Testen verwenden. Mittels Fuzzing lassen sich beispielsweise Pufferüberläufe aufdecken, die durch unerwartete Eingaben entstehen.

OSS Fuzz bietet keine neue Fuzzing-Techniken, sondern wendet vorhandene an, die es verteilt im großen Rahmen ausführt. Anfangs setzt das Tool auf die Bibliothek LibFuzzer. Außerdem verwendet es Sanitizers, die verschiedene Bereinigungstools wie den LeakSanitizer zum Erkennen von Speicherlecks verbinden.

Private und öffentliche Benachrichtigung

Projektbetreiber oder Freiwillige können ihre Open-Source-Software über ein Pull Request vorschlagen. Das Projekt muss eine ausreichend große Nutzerbasis oder Bedeutung für die allgemeine IT-Infrastruktur haben. Wenn OSS Fuzz eine Schwachstelle entdeckt, erzeugt es automatisch ein Issue in einem eigenen Tracker, da der in GitHub integrierte derzeit keine private Anzeige der Issues ermöglicht. Der Projektbetreiber erhält zudem eine Benachrichtigung. Sobald das Problem behoben ist, überprüft das Tool die Software erneut und schließt den Issue. Sieben Tage nach dem Schließen oder 90 Tage nach dem Report wird der Issue veröffentlicht.

Google hat das Projekt in Zusammenarbeit mit der Core Infrastructure Initiative ins Leben gerufen, die sich um die Sicherheit von Open-Source-Software bemüht. Zu den Mitgliedern gehören neben Google unter anderem Amazon Web Services, Facebook, IBM und Microsoft. Den Beirat bilden prominente Sicherheitsexperten wie Alan Cox und Bruce Schneier.

Weitere Details zu OSS Fuzz finden sich auf GitHub und in einem Blogbeitrag. Derzeit bearbeitet das Tool demnach etwa vier Billionen Testfälle pro Woche und hat bisher 150 Bugs in weit verbreiteten Open-Source-Projekten gefunden. Aktuell befindet sich OSS Fuzz in der Betaphase. Wer ein Projekt für Tests vorschlagen möchte, findet weitere Infos in der Projektbeschreibung. (rme)