พบบั๊กกว่า 1,000 รายการบน Open Source 47 โปรเจกต์ ขอบคุณ OSS-Fuzz จาก Google

หลังจากที่ Google เริ่มโปรแกรม OSS-Fuzz เมื่อ 5 เดือนก่อน จนถึงตอนนี้ Google สามารถค้นพบช่องโหว่มากกว่า 1,000 รายการบนซอฟต์แวร์ Open Source ยอดนิยม 47 โปรเจกต์ โดยช่องโหว่ 3 อันดับแรกที่พบมากที่สุดคือ UBSan, Timeout และ Heap Buffer Over

OSS-Fuzz เป็นโปรเจกต์ที่ Google พัฒนาขึ้นเมื่อเดือนธันวาคม 2016 เพื่อทำการทดสอบซอฟต์แวร์ Open Source แบบต่อเนื่องผ่านการทำ Fuzzing โดยมีจุดประสงค์เพื่อช่วยให้โครงสร้างของซอฟต์แวร์ที่ใช้งานกันทั่วไปมีความมั่นคงปลอดภัยและเสถียรมากยิ่งขึ้น OSS-Fuzz จะผสานเทคนิคการทำ Fuzzing และ Sanitizers หลายๆ แบบเข้าด้วยกัน โดยเริ่มจาก libFuzzer และ AddressSanitizer ก่อน และถูกออกแบบมาสำหรับดำเนินการแบบ Scalable Distributed Execution โดยใช้ ClusterFuzz

จนถึงตอนนี้ OSS-Fuzz ค้นพบสิ่งที่คาดว่าจะเป็นช่องโหว่บน Open Source ชื่อดังหลายรายการ ไม่ว่าจะเป็น Wireshark (7 รายการ), LibreOffice (33 รายการ), SQLite 3 (8 รายการ) และ FFmpeg (17 รายการ)

“Fuzzing ไม่เพียงแค่ช่วยค้นหาบั๊กด้านความปลอดภัยของหน่วยความจำ ยังสามารถค้นหาบั๊กด้านความถูกต้องและเชิงตรรกะได้อีกด้วย … เมื่อผสานโปรเจกต์ [Open Source] เข้ากับ OSS-Fuzz การดำเนินการอย่างต่อเนื่องและอัตโนมัติของ OSS-Fuzz จะช่วยให้พวกเราสามารถตรวจจับปัญหาเหล่านี้ได้ภายในเวลาไม่กี่ชั่วโมงหลังจากที่อัปโหลดเวอร์ชันที่ปรับแต่งใหม่ขึ้น Repository ก่อนที่ผู้ใช้คนใดจะได้รับผลกระทบ” — วิศวกรจาก Google อธิบาย

Google หวังว่าโปรเจกต์ Open Source อื่นๆ มาเข้าร่วมโปรแกรม และใช้ประโยชน์จาก OSS-Fuzz เพื่อพัฒนาซอฟต์แวร์ของตนเองให้มั่นคงปลอดภัย เสถียร และมีความถูกต้องมากยิ่งขึ้น

ที่มา: https://www.helpnetsecurity.com/2017/05/09/fuzzing-open-source/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

RSA จับมือ DEPA ETDA พัฒนา Thailand Smart City

เมื่อวันพฤหัสบดีที่ 20 มิถุนายน 2019 ที่ผ่านทางทางทีมงาน TechTalkThai ได้มีโอกาสเข้าร่วมสัมภาษณ์กลุ่มกับผู้บริหารจาก RSA ซึ่งได้พูดคุยถึงความร่วมมือกับ DEPA และ ETDA ในการพัฒนาโปรเจ็คด้าน Smart City …

ฟรี eBook: A Developer’s Guide to Building AI Applications โดย Microsoft

Microsoft เปิดให้ดาวน์โหลด eBook เรื่อง A Developer’s Guide to Building AI Applications สำหรับนักพัฒนาที่ต้องการสร้างแอปพลิเคชันและ Bot อัจฉริยะโดยใช้เทคโนโลยี AI …