พบบั๊กกว่า 1,000 รายการบน Open Source 47 โปรเจกต์ ขอบคุณ OSS-Fuzz จาก Google

หลังจากที่ Google เริ่มโปรแกรม OSS-Fuzz เมื่อ 5 เดือนก่อน จนถึงตอนนี้ Google สามารถค้นพบช่องโหว่มากกว่า 1,000 รายการบนซอฟต์แวร์ Open Source ยอดนิยม 47 โปรเจกต์ โดยช่องโหว่ 3 อันดับแรกที่พบมากที่สุดคือ UBSan, Timeout และ Heap Buffer Over

OSS-Fuzz เป็นโปรเจกต์ที่ Google พัฒนาขึ้นเมื่อเดือนธันวาคม 2016 เพื่อทำการทดสอบซอฟต์แวร์ Open Source แบบต่อเนื่องผ่านการทำ Fuzzing โดยมีจุดประสงค์เพื่อช่วยให้โครงสร้างของซอฟต์แวร์ที่ใช้งานกันทั่วไปมีความมั่นคงปลอดภัยและเสถียรมากยิ่งขึ้น OSS-Fuzz จะผสานเทคนิคการทำ Fuzzing และ Sanitizers หลายๆ แบบเข้าด้วยกัน โดยเริ่มจาก libFuzzer และ AddressSanitizer ก่อน และถูกออกแบบมาสำหรับดำเนินการแบบ Scalable Distributed Execution โดยใช้ ClusterFuzz

จนถึงตอนนี้ OSS-Fuzz ค้นพบสิ่งที่คาดว่าจะเป็นช่องโหว่บน Open Source ชื่อดังหลายรายการ ไม่ว่าจะเป็น Wireshark (7 รายการ), LibreOffice (33 รายการ), SQLite 3 (8 รายการ) และ FFmpeg (17 รายการ)

“Fuzzing ไม่เพียงแค่ช่วยค้นหาบั๊กด้านความปลอดภัยของหน่วยความจำ ยังสามารถค้นหาบั๊กด้านความถูกต้องและเชิงตรรกะได้อีกด้วย … เมื่อผสานโปรเจกต์ [Open Source] เข้ากับ OSS-Fuzz การดำเนินการอย่างต่อเนื่องและอัตโนมัติของ OSS-Fuzz จะช่วยให้พวกเราสามารถตรวจจับปัญหาเหล่านี้ได้ภายในเวลาไม่กี่ชั่วโมงหลังจากที่อัปโหลดเวอร์ชันที่ปรับแต่งใหม่ขึ้น Repository ก่อนที่ผู้ใช้คนใดจะได้รับผลกระทบ” — วิศวกรจาก Google อธิบาย

Google หวังว่าโปรเจกต์ Open Source อื่นๆ มาเข้าร่วมโปรแกรม และใช้ประโยชน์จาก OSS-Fuzz เพื่อพัฒนาซอฟต์แวร์ของตนเองให้มั่นคงปลอดภัย เสถียร และมีความถูกต้องมากยิ่งขึ้น

ที่มา: https://www.helpnetsecurity.com/2017/05/09/fuzzing-open-source/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Drupal ออกอัปเดต Core CMS อุดช่องโหว่หลายรายการตั้งแต่เวอร์ชัน 7, 8.5 และ 8.6

Drupal ระบบ Content Management System แบบ Open Source ยอดนิยม ประกาศออกแพตช์ด้านความมั่นคงปลอดภัยเพื่ออุดช่องโหว่ความรุนแรงระดับ “Moderately Critical” หลายรายการบน Drupal Core …

Microsoft เปิดตัวภาษา Bosque เขียนโปรแกรมแบบไม่มี Loop ได้แรงบันดาลใจจาก TypeScript

Microsoft ได้ออกมาเปิดตัว Open Source Programming Language ใหม่ที่มีชื่อว่า Bosque โดยมุ่งเน้นไปที่ความง่ายดายในการพัฒนาเป็นหลัก