Esattamente cinque mesi fa Google annunciava la nascita di OSS-Fuzz , piattaforma nata con l’obiettivo di rendere il software libero più stabile e sicuro mediante attività di fuzzing sul maggior numero possibile di progetti Open Source.
Dal momento del lancio, ha fatto sapere Google, OSS-Fuzz ha processato ben 10 trilioni di test inputs al giorno su un totale di 47 progetti registrati al programma.
Il risultato di questi numeri impressionanti è stata la scoperta di oltre 1.000 bug , 264 dei quali classificati come vulnerabilità di sicurezza, in progetti di importanza “critica” come LibreOffice, SQLite, GnuTLS, Wireshark, FFmpeg e FreeType .
Nel post pubblicato su GoogleBlog i ricercatori non nascondono la propria soddisfazione, sottolineando come una volta integrato un progetto in OSS-Fuzz, la natura automatizzata della piattaforma, che opera senza sosta, fa sì che molto spesso i problemi vengano scoperti dopo poche ore, ancor prima che gli utenti possano subirne le conseguenze.
Ad esempio, degli oltre 300 timeout e out-of-memory failures che OSS-Fuzz ha individuato, circa il 75 per cento è stato corretto. Chiaramente può anche capitare che alcuni progetti non considerino questi problemi come bug, ma in tali casi per il team di progetto anche solo la loro scoperta è sufficiente, perché consente a OSS-Fuzz di scovare ancora più bug (e ancora più interessanti).
Per incrementare la base di progetti su cui OSS-Fuzz potrà operare e rendere così più sicuro l’intero ecosistema Internet, Google ha anche annunciato un’ espansione del proprio programma Patch Rewards per includere al suo interno i progetti open source che andranno a integrarsi con OSS-Fuzz, in modo da premiare tutti quegli sviluppatori che lavorano a progetti open nel proprio tempo libero.
Le regole per iscrivere il proprio progetto al programma sono semplici: avere una base utenti consolidata e/o essere di importanza critica per l’infrastruttura IT globale. I progetti selezionati riceveranno subito 1.000 dollari USA per un’integrazione base con OSS-Fuzz, e fino a ulteriori 20.000 dollari USA potranno essere assegnati a chi implementerà un’integrazione completa. Tali somme verrebbero addirittura raddoppiate da Google qualora gli sviluppatori dovessero decidere di devolverle in beneficenza.
Attenzione però, per chi volesse iscrivere il proprio progetto sotto il profilo “ideal integration”, dovranno essere verificati i seguenti criteri per i fuzz target :
– Devono essere controllati all’interno del loro repository e integrati nel sistema di build con il supporto a sanitizzazione (fino a 5.000 dollari);
– Sono sviluppati in modo efficiente e consentono una copertura del codice superiore all’80% (fino a 5,000$);
– Sono parte dello sviluppo ufficiale e del processo di regression testing, oltre a essere correttamente manutenuti e periodicamente eseguiti contro corpora aggiornati (fino a 5.000 dollari);
– Infine, i 5000 dollari mancanti per raggiungere il cap di 20.000 verranno erogati discrezionalmente a quei progetti “l33t” che sapranno impressionare Google facendo qualcosa di “eccezionale”.
Google invita tutti gli interessati a compilare questo form per aderire al programma e accedere ai premi del Patch Rewards Program.
Niccolò Castoldi