El equipo de seguridad de código abierto de Google dice que OSS-Fuzz, su servicio comunitario de fuzzing, ha ayudado a corregir más de 8000 vulnerabilidades de seguridad y otros 26 000 errores en proyectos de código abierto desde su debut en 2016.
Por ello, les gustaría ver a los desarrolladores de código abierto hacer más fuzzing para hacer del mundo un lugar mejor o al menos hacer que el software sea un poco más seguro.
Fuzzing o fuzz testing es una técnica de prueba de software que intenta encontrar errores mediante la inyección de datos aleatorios o semialeatorios en el software.
Fue desarrollado por el profesor de informática de UW-Madison Barton Miller en 1989. Miller quería comprender cómo el ruido creado por una tormenta interfería con su conexión de módem de acceso telefónico a un sistema Unix y esto abrió nuevas áreas de investigación en el análisis de código.
Google lanzó OSS-Fuzz en 2016 en respuesta a la vulnerabilidad Heartbleed, una falla de desbordamiento del búfer de memoria que podría haber sido detectada por pruebas fuzz.
OSS-Fuzz actualmente verifica unos 700 proyectos críticos de código abierto en busca de errores y en julio detectó una falla grave en el proyecto TinyGLTF, una biblioteca que se basa en la función de biblioteca C wordexp() para la expansión de la ruta del archivo en rutas no confiables desde un archivo de entrada.
Cualquier proyecto que incorporara TinyGLTF como dependencia era potencialmente vulnerable, por lo que esta fue una victoria significativa para fuzzing.
El trabajo ha llevado a un código de prueba de concepto para detectar problemas en los programas JavaScript y Python y con la ayuda de la empresa de seguridad Code Intelligence, a la creación de desinfectantes para varios problemas específicos de Java.
Según Metzman y Liu, ya se han encontrado varias vulnerabilidades de inyección de LDAP y deserialización utilizando estas herramientas y están a la espera de una divulgación coordinada.
Metzman y Liu han alentado a quienes participan en la comunidad de código abierto a adoptar fuzzing y han ofrecido posibles recompensas. Aquellos que integren un nuevo desinfectante en OSS-Fuzz o un motor fuzzing como Jazzer, que encuentre al menos dos vulnerabilidades no identificadas previamente en proyectos OSS-Fuzz recibirán un premio de 11.337 dólares.
Alternativamente, aquellos que integren un nuevo proyecto de suficiente importancia en OSS-Fuzz (una gran base de usuarios y/o que sea fundamental para la infraestructura de TI global) son elegibles para premios que van desde los 1.000 a 20.000 dólares.
Relacionado
¿Eres un profesional del testing y las pruebas de software? Si es así, ¿Qué herramienta de pruebas utilizas? Como la mayoría de las personas cuando comienzan en el control de calidad. es posible que tenga que dominar solo una o dos herramientas de prueba porque estás restringido a lo que estás utilizando en la empresa. Cualquiera que sea la razón, si usted es un profesional experimentado, ¡SEGUIR LEYENDO!
Volvemos, con 7 nuevos cursos gratuitos, hoy exclusivamente en español. Mañana, vendrá los de inglés. Los cursos tratan sobre testing, javascript, frameworks de javascript, typescript, ASP.NET y aprendizaje automático. Como siempre, te dejo las mejores ofertas de cursos de Febrero en Udemy, por aquí. ? Todos los Cursos Gratis de Udemy: Todo sobre Testing y Debugging de Software Desde 0 a Experto - 21 Horas de ¡SEGUIR LEYENDO!
El arte de las pruebas de software es un libro escrito por Glenford J. Myers en 1979 y es considerado como uno de los libros fundamentales en el campo de las pruebas de software.
- Myers, Glenford J. (Autor)
El libro "Confiabilidad del Software: Principios y Práctica" es un libro escrito por Glenford J. Myers en 2002, que ofrece una visión general de los principios y prácticas relacionadas con la fiabilidad del software. El libro proporciona una discusión detallada sobre cómo aplicar estos principios y prácticas en el desarrollo de software, y cómo utilizar técnicas y herramientas para mejorar la fiabilidad del software. [amazon box ¡SEGUIR LEYENDO!
El panorama anda tranquilo, hoy unos pocos cursos que merecen la pena y os recuerdo que este mismo Miércoles comienza Nerdearla. Si aún no conoces el evento de Nerdearla deberías de ponerte las pilas porque es una gran conferencia, en la que este año vas a poder disfrutar totalmente gratis de hasta 150 charlas y eventos diferentes. No dudes en apuntarte para que te recuerden del ¡SEGUIR LEYENDO!
Una semana más, seguimos con cuentagotas con los cursitos en español, pero hoy viene un gran puñado de cursos en inglés. Además, os quedan unos eventillos para ir ojeando. Los cursos de esta semana vienen bastante variados, a si que nada.. A revisarlos ? Cursos en español Primeros pasos con Laravel ? INSCRÍBETE YA TELETRABAJO La Nueva Gestión del Talento Humano ? INSCRÍBETE YA Aprende las ¡SEGUIR LEYENDO!
¿Qué son las metodologías ágiles? VER EN YOUTUBE por Alien Explorer Aprendizaje Ágil del día en 2 min VER EN YOUTUBE por Javier Garzás Entrevistas sobre testing y pruebas VER EN YOUTUBE por Nadia Soledad Cavalleri Equipos Ágiles y Peopleware VER EN YOUTUBE por Javier Garzás Colecciones en .NET CORE VER EN YOUTUBE por JAP Software Crear una página desde ceron con Bootstrap VER EN YOUTUBE ¡SEGUIR LEYENDO!