谷歌的os - fuzz bug-hunting机器人一直在努力工作,最近几个月,已经发现了超过1000个bug。
据Chrome安全工程师Oliver Chang和Abhishek Arya、软件工程师Kostya Serebryany和谷歌安全程序经理Josh Armour表示,os - fuzz机器人在过去五个月里一直在网上搜寻可以利用的安全漏洞。
OSS-Fuzz机器人使用一种称为fuzzing的技术来发现bug。Fuzzing是一种针对系统或软件使用大量随机数据以使其崩溃的自动方法。通过这样做,fuzzing可以快速地找出bug和潜在的漏洞,而不需要为安全专业人员进行大量的工作。
这个过程本身是完善的,随着今年os - fuzz在整个社区的引入,每天处理超过10万亿的测试输入。与开源社区一起,在47个项目中发现了超过1000个bug,其中264个是潜在的安全漏洞。
所发现的bug和潜在安全问题包括堆缓冲区溢出问题、未使用后的漏洞、堆栈溢出和数据泄漏。然而,fuzzing不仅关注与内存相关的问题,还记录正确性或逻辑错误。
值得注意的是,os - fuzz在一些备受关注的项目中发现了大量安全漏洞,这些项目为知名的消费软件提供支持和组件。总共有10个bug在FreeType2中被发现,17个在FFmpeg中被发现,33个在LibreOffice中被发现,8个在SQLite 3中被发现,10个在GnuTLS中被发现,25个在PCRE2中被发现,9个在gRPC中被发现,7个在Wireshark中被发现。(一些发现与其他研究人员的工作发生了冲突,一些发现受到了限制。)
谷歌说:“一旦一个项目被集成到os - fuzz中,os - fuzz的连续和自动化特性意味着,我们常常在将回归引入上游存储库后的几个小时内就捕捉到这些问题,从而降低了用户受到影响的机会。”
谷歌认为fuzzing作为一种安全工具,应该被主流所采用。为此,这家科技巨头正在扩大补丁奖励计划,以包括对使用该机器人的IT专业人士的奖励。
要符合这个条件,项目必须拥有大量的用户基础或全球IT基础设施。当OSS-Fuzz第一次被引入时,将获得1,000美元的奖励,谷歌认为这是“理想的集成”,最高可获得20,000美元。如果供应商和工作人员选择将他们的奖励捐赠给慈善机构,这个数额将增加一倍。
有兴趣的人士可联络谷歌申请。
谷歌团队表示:“我们要感谢那些集成了他们的项目并修复了无数bug的现有贡献者。”“我们希望看到更多的项目集成到os - fuzz中,并在开发软件时更多地采用fuzzing作为标准实践。”