Google-findet-hunderte (
tausende)-Sicherheitslücken-in-Open-Source-Software
Google findet hunderte
Sicherheitslücken in Open-Source-Software
10. Mai 2017, 13:31
2 Postings
Innerhalb von fünf Monaten – Unternehmen schafft finanzielle Anreize für
Beteiligung an OSS-Fuzz
Unter dem Namen OSS-Fuzz hat Google Ende letzten Jahres ein Projekt
vorgestellt, mit dem man die Sicherheit von Open-Source-Software
verbessern will. Fünf Monate später zieht man eine erste Bilanz – und
die fällt äußerst positiv aus.
Sicherheitslücken
Seit dem Start habe OSS-Fuzz mehr als 1.000 schwere Fehler in
Open-Source-Software aufgespürt, heißt es in einem Blogposting. Gut ein
Viertel davon sei sicherheitsrelevant, hätte also von Angreifern für
ihre Zwecke ausgenutzt werden können.
Teilnehmer
Bei OSS-Fuzz stellt Google die notwendige Infrastruktur, interessierte
Projekte müssen aber ihre Teilnahme selbst beantragen. Bisher haben das
47 Open-Source-Unterfangen getan, auf die sich dann all dies Bugs auch
auf teilen. Die meisten Sicherheitslücken wurden dabei in Libreoffice
(33) gefunden, 25 fanden sich in PCRE2 gefolgt von 17 in FFMPEG.
Finanzieller Anreiz
Nun will Google die Anzahl der an OSS-Fuzz teilnehmenden Projekte noch
weiter erhöhen, und schafft dafür auch finanzielle Anreize. So gibt es
für alle, die die Anbindung an OSS-Fuzz vornehmen, eine Prämie in der
Höhe von 1.000 Dollar. Für eine engere Anbindung und Optimierungen für
die Tests werden dann bis zu 5.000 Dollar ausbezahlte. Damit will man
eine Art Entschädigung für den anfänglichen Aufwand der Projekte bieten.
Regeln
Betont sei allerdings, dass dieses Angebot nicht für jedes x-beliebige
Open-Source-Programm gilt. So muss ein Programm entweder eine große
Nutzerbasis haben oder kritische für die globale IT-Infrastruktur sein,
um überhaupt OSS-Fuzz nutzen zu können.
OSS-Fuzz unterzieht die jeweilige Software eine Reihe von
automatisierten Tests. Dabei werden unter anderem laufend zufällige
Eingaben reagiert, und überprüft, wie das jeweilige Programm darauf
reagiert – das sogenannte "Fuzzing". (apo, 10.5.2017)
Link
Blogposting von Google
http://derstandard.at/2000057316437/OSS-Fuzz-Google-findet-hunderte-Sicherheitsluecken-in-Open-Source-Software
Eine sehr erfolgreiche Geschäftsidee
Das Rezept !