Google, i primi risultati di OSS-Fuzz

A cinque mesi dal lancio, per Mountain View è tempo di presentare i risultati raggiunti dalla piattaforma nata per scovare bug nei progetti open source

Roma – Esattamente cinque mesi fa Google annunciava la nascita di OSS-Fuzz , piattaforma nata con l’obiettivo di rendere il software libero più stabile e sicuro mediante attività di fuzzing sul maggior numero possibile di progetti Open Source.
Dal momento del lancio, ha fatto sapere Google, OSS-Fuzz ha processato ben 10 trilioni di test inputs al giorno su un totale di 47 progetti registrati al programma.
Il risultato di questi numeri impressionanti è stata la scoperta di oltre 1.000 bug , 264 dei quali classificati come vulnerabilità di sicurezza, in progetti di importanza “critica” come LibreOffice, SQLite, GnuTLS, Wireshark, FFmpeg e FreeType .

Google OSS-Fuzz

Nel post pubblicato su GoogleBlog i ricercatori non nascondono la propria soddisfazione, sottolineando come una volta integrato un progetto in OSS-Fuzz, la natura automatizzata della piattaforma, che opera senza sosta, fa sì che molto spesso i problemi vengano scoperti dopo poche ore, ancor prima che gli utenti possano subirne le conseguenze.

Ad esempio, degli oltre 300 timeout e out-of-memory failures che OSS-Fuzz ha individuato, circa il 75 per cento è stato corretto. Chiaramente può anche capitare che alcuni progetti non considerino questi problemi come bug, ma in tali casi per il team di progetto anche solo la loro scoperta è sufficiente, perché consente a OSS-Fuzz di scovare ancora più bug (e ancora più interessanti).

Per incrementare la base di progetti su cui OSS-Fuzz potrà operare e rendere così più sicuro l’intero ecosistema Internet, Google ha anche annunciato un’ espansione del proprio programma Patch Rewards per includere al suo interno i progetti open source che andranno a integrarsi con OSS-Fuzz, in modo da premiare tutti quegli sviluppatori che lavorano a progetti open nel proprio tempo libero.

Le regole per iscrivere il proprio progetto al programma sono semplici: avere una base utenti consolidata e/o essere di importanza critica per l’infrastruttura IT globale. I progetti selezionati riceveranno subito 1.000 dollari USA per un’integrazione base con OSS-Fuzz, e fino a ulteriori 20.000 dollari USA potranno essere assegnati a chi implementerà un’integrazione completa. Tali somme verrebbero addirittura raddoppiate da Google qualora gli sviluppatori dovessero decidere di devolverle in beneficenza.

Attenzione però, per chi volesse iscrivere il proprio progetto sotto il profilo “ideal integration”, dovranno essere verificati i seguenti criteri per i fuzz target :

– Devono essere controllati all’interno del loro repository e integrati nel sistema di build con il supporto a sanitizzazione (fino a 5.000 dollari);

– Sono sviluppati in modo efficiente e consentono una copertura del codice superiore all’80% (fino a 5,000$);

– Sono parte dello sviluppo ufficiale e del processo di regression testing, oltre a essere correttamente manutenuti e periodicamente eseguiti contro corpora aggiornati (fino a 5.000 dollari);

– Infine, i 5000 dollari mancanti per raggiungere il cap di 20.000 verranno erogati discrezionalmente a quei progetti “l33t” che sapranno impressionare Google facendo qualcosa di “eccezionale”.

Google invita tutti gli interessati a compilare questo form per aderire al programma e accedere ai premi del Patch Rewards Program.

Niccolò Castoldi

fonte immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • soloperoggi scrive:
    FaceBook
    Se Uber è un servizio di trasporto allora Facebook è una rivista di gossip.
    • 22edb3809b3 scrive:
      Re: FaceBook
      - Scritto da: soloperoggi
      Se Uber è un servizio di trasporto allora
      Facebook è una rivista di gossip.Gli autisti anche se non sono assunti sono comunque reclutati e formati da Uber. Se Uber fosse solo un intermediario non avrebbe bisogno di farlo. Però a quel punto nessuno si fiderebbe di autisti non selezionati e senza nessuna preparazione. E' come un cane che si morde la coda, ma in questo settore dove la sicurezza ha ancora un minimo di valore un intermediario puro non può funzionare.
  • ... scrive:
    Ripeto ...
    ... PI é gestito da peracottari.
  • ... scrive:
    Ripeto ...
    ... PI é gestito da peracottari.
  • Ubaldo scrive:
    L'informazione prima di tutto
    Cioè, in campo informatico è come se fossero venute giù le torri gemelle e voi prestigiosa testata giornalistica, vi uscite con uno speciale sul pene bifido dell'opossum.
    • .... ... scrive:
      Re: L'informazione prima di tutto
      Perché cosa è sucXXXXX ? ..... faccia di Mariuccia
      • panda rossa scrive:
        Re: L'informazione prima di tutto
        - Scritto da: .... ...
        Perché cosa è sucXXXXX ? ..... faccia di MariucciaNiente di nuovo: i winari hanno preso un malware.
        • .... ... scrive:
          Re: L'informazione prima di tutto
          Taci XXXXXXXX. Sai che sembra quasi tu sia il sistemista di pi ? Tornano online e sbuchi tu. Non credo alle coincidenze.
          • panda rossa scrive:
            Re: L'informazione prima di tutto
            - Scritto da: .... ...
            Taci XXXXXXXX.

            Sai che sembra quasi tu sia il sistemista di pi ?
            Tornano online e sbuchi tu. Non credo alle
            coincidenze.Credi a quello che ti pare.1) Io uso linux, quindi coi tuoi malware mi ci sciacquo le natiche.2) Io so scriptare, quindi lascio che sia il mio computer ad accorgersi quando il sito torna su e mi notifica la cosa.3) Tu sei ignorante e non puoi capire.4) Pagato il riscatto?
          • ... scrive:
            Re: L'informazione prima di tutto
            - Scritto da: panda rossa
            - Scritto da: .... ...

            Taci XXXXXXXX.



            Sai che sembra quasi tu sia il sistemista di
            pi
            ?

            Tornano online e sbuchi tu. Non credo alle

            coincidenze.

            Credi a quello che ti pare.

            1) Io uso linux, quindi coi tuoi malware mi ci
            sciacquo le
            natiche.
            Bravo
            2) Io so scriptare, quindi lascio che sia il mio
            computer ad accorgersi quando il sito torna su e
            mi notifica la
            cosa.
            Hai fatto uno script per sapere se PI é su ?A parte che lo sa fare un bimbo di 5 anni .... a mio modo di vedere é una emerita idiozia
            3) Tu sei ignorante e non puoi capire.

            4) Pagato il riscatto?A differenza di PI e grazie agli update automatici sui miei clients , stamattina tutti han potuto iniziare come se nulla fosse il loro lavoro. Patch distribuita il 15.03.2017.
          • panda rossa scrive:
            Re: L'informazione prima di tutto
            - Scritto da: ...

            A differenza di PI e grazie agli update
            automatici sui miei clients , stamattina tutti
            han potuto iniziare come se nulla fosse il loro
            lavoro. Patch distribuita il
            15.03.2017.Vuoi un applauso?Praticamente ti sei comportato come quel bimbominkia che si fa i selfie col treno alle spalle e fino ad oggi gli e' andata bene.
          • ... scrive:
            Re: L'informazione prima di tutto
            - Scritto da: panda rossa
            - Scritto da: ...




            A differenza di PI e grazie agli update

            automatici sui miei clients , stamattina
            tutti

            han potuto iniziare come se nulla fosse il
            loro

            lavoro. Patch distribuita il

            15.03.2017.

            Vuoi un applauso?
            Faccio il mio lavoro , mi pagano per questo , non ho bisogno di applausi.
            Praticamente ti sei comportato come quel
            bimbominkia che si fa i selfie col treno alle
            spalle e fino ad oggi gli e' andata
            bene.Mi sono comportato come tutti i professionisti dovrebbero fare PER LEGGE....AGGIORNARE i sistemi.Questa XXXXX si é diffusa perché la gente come te , con le dita nel naso a pasticciarsi davanti a youporn , non ha installato una patch uscita il 15 marzo.
    • Saraceno scrive:
      Re: L'informazione prima di tutto
      - Scritto da: Ubaldo
      Cioè, in campo informatico è come se fossero
      venute giù le torri gemelle e voi prestigiosa
      testata giornalistica, vi uscite con uno speciale
      sul pene bifido
      dell'opossum.Argomento sul quale Panda Rossa non può commentare per altro, invece su wannacry aveva già preparato tutte le sfilze di nomignoli, offesine e provocazioni varie. Così non può andare avanti!
    • Ubaldo scrive:
      Re: L'informazione prima di tutto
      Decido di seguire la linea di PI e dare anch'io il mio contributo ai recenti fatti di attualità:"La riproduzione ha elementi molto singolari. Intanto gli Echidna presentano una cloaca (cioè unapertura unica per i dotti riproduttivo, urinario e intestinale); questo è un carattere che hanno in comune con i Rettili e gli Uccelli, con i quali condividono anche il fatto che il pene si trova dentro la cloaca stessa, e viene estroflesso solo per la copula. Inoltre, il pene è dotato di quattro teste. Durante laccoppiamento solo due di queste sono funzionali e si introducono nel tratto riproduttivo della femmina, che è biforcato."
Chiudi i commenti