Homepage C-Security Cyberspace CSpionage CTerror  Gefährdung Kriminalität  Computer Kommunikation  Systeme Mensch Information Mobiltelephon Ramson Emission Schwachstellen
 Quanten Forschung Fachberichte Wirtschafte Technik Netzee Kryptologiee Geheimdienste kyb.Waffen Bildung Supercomp. Standorte I-Satelliten Diverses C-Politik  Verschlüsselung
 Schwarzbuch> 2 0 1 1 2 0 1 1 2 0 1 2 2 0 1 3 2 0 1 4 2 0 1 5 2016 2017l2018 2019 2 0 2 0 2021 2022  Presseveröffentlichungen
Schwarz-buch

 
 
Image
der Standard, Wien

Google-findet-hunderte ( tausende)-Sicherheitslücken-in-Open-Source-Software


Google findet hunderte Sicherheitslücken in Open-Source-Software
10. Mai 2017, 13:31
2 Postings
Innerhalb von fünf Monaten – Unternehmen schafft finanzielle Anreize für Beteiligung an OSS-Fuzz
Unter dem Namen OSS-Fuzz hat Google Ende letzten Jahres ein Projekt vorgestellt, mit dem man die Sicherheit von Open-Source-Software verbessern will. Fünf Monate später zieht man eine erste Bilanz – und die fällt äußerst positiv aus.

Sicherheitslücken
Seit dem Start habe OSS-Fuzz mehr als 1.000 schwere Fehler in Open-Source-Software aufgespürt, heißt es in einem Blogposting. Gut ein Viertel davon sei sicherheitsrelevant, hätte also von Angreifern für ihre Zwecke ausgenutzt werden können.

Teilnehmer
Bei OSS-Fuzz stellt Google die notwendige Infrastruktur, interessierte Projekte müssen aber ihre Teilnahme selbst beantragen. Bisher haben das 47 Open-Source-Unterfangen getan, auf die sich dann all dies Bugs auch auf teilen. Die meisten Sicherheitslücken wurden dabei in Libreoffice (33) gefunden, 25 fanden sich in PCRE2 gefolgt von 17 in FFMPEG.

Finanzieller Anreiz
Nun will Google die Anzahl der an OSS-Fuzz teilnehmenden Projekte noch weiter erhöhen, und schafft dafür auch finanzielle Anreize. So gibt es für alle, die die Anbindung an OSS-Fuzz vornehmen, eine Prämie in der Höhe von 1.000 Dollar. Für eine engere Anbindung und Optimierungen für die Tests werden dann bis zu 5.000 Dollar ausbezahlte. Damit will man eine Art Entschädigung für den anfänglichen Aufwand der Projekte bieten.

Regeln
Betont sei allerdings, dass dieses Angebot nicht für jedes x-beliebige Open-Source-Programm gilt. So muss ein Programm entweder eine große Nutzerbasis haben oder kritische für die globale IT-Infrastruktur sein, um überhaupt OSS-Fuzz nutzen zu können.

OSS-Fuzz unterzieht die jeweilige Software eine Reihe von automatisierten Tests. Dabei werden unter anderem laufend zufällige Eingaben reagiert, und überprüft, wie das jeweilige Programm darauf reagiert – das sogenannte "Fuzzing". (apo, 10.5.2017)

Link
Blogposting von Google

http://derstandard.at/2000057316437/OSS-Fuzz-Google-findet-hunderte-Sicherheitsluecken-in-Open-Source-Software



Eine sehr erfolgreiche Geschäftsidee
Das Rezept !