Mit Open Source Vulnerabilities (OSV) hat Google einen Dienst zur
Verwaltung von Schwachstellen in Open-Source-Code gestartet. Dazu
bietet die OSV-Seite
eine API für die Abfrage, ob spezifische Versionen von Projekten
von Bugs betroffen sind. Zu Beginn werden von Googles Fuzz-Testing-Werkzeug
OSS-Fuzz gefundene Schwachstellen verwaltet, später sollen
unter anderem Daten aus Paketmanagern wie NPM oder PyPI hinzukommen.
OSS-Fuzz wurde in einer Kooperation von Google mit der Core Infrastucture
Initiative entwickelt und 2016 erstmals öffentlich vorgestellt.
Open-Source-Software wird von dem Tool mittels Fuzzing auf Schwachstellen
überprüft - dabei wird Software mit bewusst fehlerhaften
bzw. unvollständigen Eingabedaten getestet. Das Verfahren findet
auf diesem Weg Fehler, welche normalerweise nicht auffallen, da
menschliche Tester meist nur plausible Daten nutzen. Bisher hat
OSS-Fuzz laut
der GitHub-Seite etwa 25.000 Bugs in 375 Projekten aufgespürt.
Neben der Schwachstellensuche soll OVE auch das Auffinden betroffener
Versionen automatisieren. Eine sogenannte automatisierte Impact-Analyse
sowie Bisektion-Verfahren kommen dabei zum Einsatz, wobei letzteres
Verfahren Commits auffinden kann, welche bestimmte Bugs eingebracht
haben.
Nähere Informationen sind dem Open-Source-Blog
bei Google zu entnehmen. Der Quellcode des Projekts ist auf
GitHub unter der Apache-2-Lizenz veröffentlicht worden.
(jb, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|