พบบั๊กกว่า 1,000 รายการบน Open Source 47 โปรเจกต์ ขอบคุณ OSS-Fuzz จาก Google

หลังจากที่ Google เริ่มโปรแกรม OSS-Fuzz เมื่อ 5 เดือนก่อน จนถึงตอนนี้ Google สามารถค้นพบช่องโหว่มากกว่า 1,000 รายการบนซอฟต์แวร์ Open Source ยอดนิยม 47 โปรเจกต์ โดยช่องโหว่ 3 อันดับแรกที่พบมากที่สุดคือ UBSan, Timeout และ Heap Buffer Over

OSS-Fuzz เป็นโปรเจกต์ที่ Google พัฒนาขึ้นเมื่อเดือนธันวาคม 2016 เพื่อทำการทดสอบซอฟต์แวร์ Open Source แบบต่อเนื่องผ่านการทำ Fuzzing โดยมีจุดประสงค์เพื่อช่วยให้โครงสร้างของซอฟต์แวร์ที่ใช้งานกันทั่วไปมีความมั่นคงปลอดภัยและเสถียรมากยิ่งขึ้น OSS-Fuzz จะผสานเทคนิคการทำ Fuzzing และ Sanitizers หลายๆ แบบเข้าด้วยกัน โดยเริ่มจาก libFuzzer และ AddressSanitizer ก่อน และถูกออกแบบมาสำหรับดำเนินการแบบ Scalable Distributed Execution โดยใช้ ClusterFuzz

จนถึงตอนนี้ OSS-Fuzz ค้นพบสิ่งที่คาดว่าจะเป็นช่องโหว่บน Open Source ชื่อดังหลายรายการ ไม่ว่าจะเป็น Wireshark (7 รายการ), LibreOffice (33 รายการ), SQLite 3 (8 รายการ) และ FFmpeg (17 รายการ)

“Fuzzing ไม่เพียงแค่ช่วยค้นหาบั๊กด้านความปลอดภัยของหน่วยความจำ ยังสามารถค้นหาบั๊กด้านความถูกต้องและเชิงตรรกะได้อีกด้วย … เมื่อผสานโปรเจกต์ [Open Source] เข้ากับ OSS-Fuzz การดำเนินการอย่างต่อเนื่องและอัตโนมัติของ OSS-Fuzz จะช่วยให้พวกเราสามารถตรวจจับปัญหาเหล่านี้ได้ภายในเวลาไม่กี่ชั่วโมงหลังจากที่อัปโหลดเวอร์ชันที่ปรับแต่งใหม่ขึ้น Repository ก่อนที่ผู้ใช้คนใดจะได้รับผลกระทบ” — วิศวกรจาก Google อธิบาย

Google หวังว่าโปรเจกต์ Open Source อื่นๆ มาเข้าร่วมโปรแกรม และใช้ประโยชน์จาก OSS-Fuzz เพื่อพัฒนาซอฟต์แวร์ของตนเองให้มั่นคงปลอดภัย เสถียร และมีความถูกต้องมากยิ่งขึ้น

ที่มา: https://www.helpnetsecurity.com/2017/05/09/fuzzing-open-source/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

OpenAI เตรียมเปิดตัว GPT-5 ในไม่กี่เดือนข้างหน้า และ GPT-4.5 อีกภายในไม่กี่สัปดาห์

Sam Altman ประธานเจ้าหน้าที่บริหาร OpenAI เผยผ่านโพสต์บน X ว่าบริษัทมีแผนเปิดตัวระบบปัญญาประดิษฐ์ระดับเรือธงรุ่นถัดไปของบริษัท คือ GPT-5 ภายในไม่กี่เดือนข้างหน้า พร้อมแบ่งปันรายละเอียดอื่น ๆ เกี่ยวกับแผนพัฒนาผลิตภัณฑ์สำหรับนักพัฒนา ChatGPT

HPE เปิดตัว ProLiant Gen12 Server รุ่นใหม่ 8 รุ่น เน้นความปลอดภัยระดับชิป พร้อมฟีเจอร์จัดการด้วย AI

HPE ประกาศเปิดตัว ProLiant Compute Gen12 Server รุ่นใหม่ ที่มาพร้อมโปรเซสเซอร์ Intel Xeon 6 และระบบรักษาความปลอดภัยระดับชิป พร้อมฟีเจอร์จัดการด้วย AI