Nix88

Google, i primi risultati di OSS-Fuzz

A cinque mesi dal lancio, per Mountain View è tempo di presentare i risultati raggiunti dalla piattaforma nata per scovare bug nei progetti open source

Roma - Esattamente cinque mesi fa Google annunciava la nascita di OSS-Fuzz, piattaforma nata con l'obiettivo di rendere il software libero più stabile e sicuro mediante attività di fuzzing sul maggior numero possibile di progetti Open Source.
Dal momento del lancio, ha fatto sapere Google, OSS-Fuzz ha processato ben 10 trilioni di test inputs al giorno su un totale di 47 progetti registrati al programma.
Il risultato di questi numeri impressionanti è stata la scoperta di oltre 1.000 bug, 264 dei quali classificati come vulnerabilità di sicurezza, in progetti di importanza "critica" come LibreOffice, SQLite, GnuTLS, Wireshark, FFmpeg e FreeType.

Google OSS-Fuzz

Nel post pubblicato su GoogleBlog i ricercatori non nascondono la propria soddisfazione, sottolineando come una volta integrato un progetto in OSS-Fuzz, la natura automatizzata della piattaforma, che opera senza sosta, fa sì che molto spesso i problemi vengano scoperti dopo poche ore, ancor prima che gli utenti possano subirne le conseguenze.

Ad esempio, degli oltre 300 timeout e out-of-memory failures che OSS-Fuzz ha individuato, circa il 75 per cento è stato corretto. Chiaramente può anche capitare che alcuni progetti non considerino questi problemi come bug, ma in tali casi per il team di progetto anche solo la loro scoperta è sufficiente, perché consente a OSS-Fuzz di scovare ancora più bug (e ancora più interessanti).
Per incrementare la base di progetti su cui OSS-Fuzz potrà operare e rendere così più sicuro l'intero ecosistema Internet, Google ha anche annunciato un'espansione del proprio programma Patch Rewards per includere al suo interno i progetti open source che andranno a integrarsi con OSS-Fuzz, in modo da premiare tutti quegli sviluppatori che lavorano a progetti open nel proprio tempo libero.

Le regole per iscrivere il proprio progetto al programma sono semplici: avere una base utenti consolidata e/o essere di importanza critica per l'infrastruttura IT globale. I progetti selezionati riceveranno subito 1.000 dollari USA per un'integrazione base con OSS-Fuzz, e fino a ulteriori 20.000 dollari USA potranno essere assegnati a chi implementerà un'integrazione completa. Tali somme verrebbero addirittura raddoppiate da Google qualora gli sviluppatori dovessero decidere di devolverle in beneficenza.

Attenzione però, per chi volesse iscrivere il proprio progetto sotto il profilo "ideal integration", dovranno essere verificati i seguenti criteri per i fuzz target:

- Devono essere controllati all'interno del loro repository e integrati nel sistema di build con il supporto a sanitizzazione (fino a 5.000 dollari);

- Sono sviluppati in modo efficiente e consentono una copertura del codice superiore all'80% (fino a 5,000$);

- Sono parte dello sviluppo ufficiale e del processo di regression testing, oltre a essere correttamente manutenuti e periodicamente eseguiti contro corpora aggiornati (fino a 5.000 dollari);

- Infine, i 5000 dollari mancanti per raggiungere il cap di 20.000 verranno erogati discrezionalmente a quei progetti "l33t" che sapranno impressionare Google facendo qualcosa di "eccezionale".

Google invita tutti gli interessati a compilare questo form per aderire al programma e accedere ai premi del Patch Rewards Program.

Niccolò Castoldi

fonte immagine
Notizie collegate
  • SicurezzaTu migliori l'open source, Google pagaMountain View allarga la platea dei software compresi nel suo programma di premi per chi contribuisce allo sviluppo FOSS. Tutto quanto è open, da Android ai mailserver, sarà migliorabile in cambio di dollari del Googleplex
  • SicurezzaGoogle paga per sviscerare il FOSSUn nuovo programma di taglie che premierà chi offre soluzioni a problemi che affliggono i software a codice aperto. Denaro sonante per supportare chi supporta le varie community
  • SicurezzaGoogle, riaperta la caccia ai bugEstesa a Chrome OS l'iniziativa Chromium Security Rewards, nata per ricompensare tutti i cacciatori di vulnerabilità sul browser di BigG. Stanziati 300mila dollari per tutti quelli che riporteranno problematiche gravi
2 Commenti alla Notizia Google, i primi risultati di OSS-Fuzz
Ordina
  • Quando l'IT era nei tempi d'oro si facevan cose che oggi non esistono, investimenti a lungo termine, rivoluzioni copernicane sul piano tecnologico. Oggi si investe in marketing e avvocati concentrando quel po' di R&D rimasto, veramente poco, in modi per inlucchettare meglio il prossimo.

    Ma non viene naturale pensare che siamo alla fine di un ciclo tecnologico ed è opportuno pensare al prossimo? La rivoluzione di UNIX è stata il C, linguaggio ai tempi "di alto livello", "facile", semplice&pulito, con una libreria standard abbastanza fornita ecc. Oggi? Oggi abbiamo qualche seme di "nuovo C" nel Go, nel Rust, persino nell'idea mai compresa dalle masse del Java (OS == runtime, con JVM in-kernel, "dipendenze" teoricamente risolvibili da sole, tipo go get $url ecc) nel python (a livello di semplicità e facilità d'uso) ecc. Ecco di questa "base" c'è bisogno.

    Con questa si potrà riscrivere lo storage (già Plan9 ha dato buone idee, lo zfs fa da timido pioniere attuale ecc), si potrà su questo realizzare pkg-managers e quindi installers che rispondano ai bisogni attuali ed infine un nuovo OS che risponda ai bisogni attuali, che abbia una sua libreria standard/framework completa per l'oggi, che abbia un suo userland di conseguenza e che pian piano svilupperà nuove applicazione, porterà le vecchie nella nuova tecnologia ecc.

    Ora togliete gli occhialini del film e guardate la storia, questo è successo, questo dovrà risuccedere. Solo più si protrae lo stato presente più si starà male...

    Possibile che non si possa evolvere con calma, senza doverlo fare con una pistola alla tempia?
    non+autenticato
  • Se l'informatica vuole fari passi avanti deve necessariamente abbandonare il copyright
    non+autenticato