从谷歌发布了新工具OSS-Fuzz的测试版,到现在仅仅只有六个月,就获得了开源应用程序开发人员以及使用和支持社区的广泛认可。
OSS-Fuzz的目标是使通用软件基础设施更加安全和稳定。 谷歌努力将所有公共的基础设施开源库置于同一安全保护伞之下, 并同时对它们执行常规的模糊测试。
模糊测试是一种软件测试技术,用于发现安全漏洞和编码错误,这些错误可能导致黑客对敏感数据的攻击或者发生拒绝服务的异常。 简单地说,模糊测试是向应用程序或类库发送大量不同的数据, 以试图将程序搞崩溃或引起某种bug为目标。
例如,将“1125$$@12%!zz”替代人名作为程序的输入,如果应用程序没有正确地验证输入,可能会导致应用程序崩溃。
在过去几个月里,谷歌的OSS-Fuzz扫描了几十个很受欢迎的开源类库,寻找这些类型的bug。最终它并没有空手而归,发现了将近千个bug,其中数以百计的是高风险的安全漏洞、内存问题和其他威胁性漏洞。
例如,以下是为这些流行的开源类库找到的bug数目:
FreeType2:10个bug
FFmpeg:17个bug
LibreOffice: 33个bug
SQLite:8个bug
Wireshark:7个bug
这样的例子还有很多,其中还包括libxml2、 libpng、LCMS、JSON等。
这里我们要注意的是,实际上重点并不是OSS-Fuzz在一些开源类库中发现了一些bug,而是这个事实对于我们的影响,作为一个开发依赖这些重要的开源基础框架的产品的开发者或者科技公司的管理者来说,这实际上意味着一旦它们包含有一个bug,您的软件就也包含这个bug,而您的客户可能就会暴露在这些安全漏洞之下。
那么你能做什么呢?首先,开始
跟踪那些bug确保它们已经解决了,或者至少没有威胁到你的客户。
此外,跟踪OSS-Fuzz的
列表里的那些开源代码,因为这个列表会随时更新,而你可能就会用到其中的一些。总结
使用开源类库时,你不能想当然地认为你是安全的。这些类库是由程序员编写的,就像你和我一样普通的人,每天都犯错误。
因此,你需要关注这些类库的安全状态,在集成之前,尤其是在集成和发布产品之后。
保持安全(且简单)!
来源:可译网
作者:班纳睿