• Categoría de la entrada:DevOps
  • Tiempo de lectura:3 minutos de lectura

El equipo de seguridad de código abierto de Google dice que OSS-Fuzz, su servicio comunitario de fuzzing, ha ayudado a corregir más de 8000 vulnerabilidades de seguridad y otros 26 000 errores en proyectos de código abierto desde su debut en 2016.

Por ello, les gustaría ver a los desarrolladores de código abierto hacer más fuzzing para hacer del mundo un lugar mejor o al menos hacer que el software sea un poco más seguro.

Fuzzing o fuzz testing es una técnica de prueba de software que intenta encontrar errores mediante la inyección de datos aleatorios o semialeatorios en el software.

Fue desarrollado por el profesor de informática de UW-Madison Barton Miller en 1989. Miller quería comprender cómo el ruido creado por una tormenta interfería con su conexión de módem de acceso telefónico a un sistema Unix y esto abrió nuevas áreas de investigación en el análisis de código.

Google lanzó OSS-Fuzz en 2016 en respuesta a la vulnerabilidad Heartbleed, una falla de desbordamiento del búfer de memoria que podría haber sido detectada por pruebas fuzz.

OSS-Fuzz actualmente verifica unos 700 proyectos críticos de código abierto en busca de errores y en julio detectó una falla grave en el proyecto TinyGLTF, una biblioteca que se basa en la función de biblioteca C wordexp() para la expansión de la ruta del archivo en rutas no confiables desde un archivo de entrada.

Cualquier proyecto que incorporara TinyGLTF como dependencia era potencialmente vulnerable, por lo que esta fue una victoria significativa para fuzzing.

El trabajo ha llevado a un código de prueba de concepto para detectar problemas en los programas JavaScript y Python y con la ayuda de la empresa de seguridad Code Intelligence, a la creación de desinfectantes para varios problemas específicos de Java.

Según Metzman y Liu, ya se han encontrado varias vulnerabilidades de inyección de LDAP y deserialización utilizando estas herramientas y están a la espera de una divulgación coordinada.

Metzman y Liu han alentado a quienes participan en la comunidad de código abierto a adoptar fuzzing y han ofrecido posibles recompensas. Aquellos que integren un nuevo desinfectante en OSS-Fuzz o un motor fuzzing como Jazzer, que encuentre al menos dos vulnerabilidades no identificadas previamente en proyectos OSS-Fuzz recibirán un premio de 11.337 dólares.

Alternativamente, aquellos que integren un nuevo proyecto de suficiente importancia en OSS-Fuzz (una gran base de usuarios y/o que sea fundamental para la infraestructura de TI global) son elegibles para premios que van desde los 1.000 a 20.000 dólares.

Compartir es Vivir!

Comparte tu opinión