พบบั๊กกว่า 1,000 รายการบน Open Source 47 โปรเจกต์ ขอบคุณ OSS-Fuzz จาก Google

หลังจากที่ Google เริ่มโปรแกรม OSS-Fuzz เมื่อ 5 เดือนก่อน จนถึงตอนนี้ Google สามารถค้นพบช่องโหว่มากกว่า 1,000 รายการบนซอฟต์แวร์ Open Source ยอดนิยม 47 โปรเจกต์ โดยช่องโหว่ 3 อันดับแรกที่พบมากที่สุดคือ UBSan, Timeout และ Heap Buffer Over

OSS-Fuzz เป็นโปรเจกต์ที่ Google พัฒนาขึ้นเมื่อเดือนธันวาคม 2016 เพื่อทำการทดสอบซอฟต์แวร์ Open Source แบบต่อเนื่องผ่านการทำ Fuzzing โดยมีจุดประสงค์เพื่อช่วยให้โครงสร้างของซอฟต์แวร์ที่ใช้งานกันทั่วไปมีความมั่นคงปลอดภัยและเสถียรมากยิ่งขึ้น OSS-Fuzz จะผสานเทคนิคการทำ Fuzzing และ Sanitizers หลายๆ แบบเข้าด้วยกัน โดยเริ่มจาก libFuzzer และ AddressSanitizer ก่อน และถูกออกแบบมาสำหรับดำเนินการแบบ Scalable Distributed Execution โดยใช้ ClusterFuzz

จนถึงตอนนี้ OSS-Fuzz ค้นพบสิ่งที่คาดว่าจะเป็นช่องโหว่บน Open Source ชื่อดังหลายรายการ ไม่ว่าจะเป็น Wireshark (7 รายการ), LibreOffice (33 รายการ), SQLite 3 (8 รายการ) และ FFmpeg (17 รายการ)

“Fuzzing ไม่เพียงแค่ช่วยค้นหาบั๊กด้านความปลอดภัยของหน่วยความจำ ยังสามารถค้นหาบั๊กด้านความถูกต้องและเชิงตรรกะได้อีกด้วย … เมื่อผสานโปรเจกต์ [Open Source] เข้ากับ OSS-Fuzz การดำเนินการอย่างต่อเนื่องและอัตโนมัติของ OSS-Fuzz จะช่วยให้พวกเราสามารถตรวจจับปัญหาเหล่านี้ได้ภายในเวลาไม่กี่ชั่วโมงหลังจากที่อัปโหลดเวอร์ชันที่ปรับแต่งใหม่ขึ้น Repository ก่อนที่ผู้ใช้คนใดจะได้รับผลกระทบ” — วิศวกรจาก Google อธิบาย

Google หวังว่าโปรเจกต์ Open Source อื่นๆ มาเข้าร่วมโปรแกรม และใช้ประโยชน์จาก OSS-Fuzz เพื่อพัฒนาซอฟต์แวร์ของตนเองให้มั่นคงปลอดภัย เสถียร และมีความถูกต้องมากยิ่งขึ้น

ที่มา: https://www.helpnetsecurity.com/2017/05/09/fuzzing-open-source/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …

ActiveMedia ขอเชิญเข้าฟัง Webinar “Next-Generation Data Protection for Your Business” 23 ก.ค. เวลา 14:00 น.

องค์กรของคุณพร้อมรับมือกับความท้าทายด้านข้อมูลในยุคดิจิทัลแล้วหรือยัง?