Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984

Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
 
News
 

Mit Open Source Vulnerabilities (OSV) hat Google einen Dienst zur Verwaltung von Schwachstellen in Open-Source-Code gestartet. Dazu bietet die OSV-Seite eine API für die Abfrage, ob spezifische Versionen von Projekten von Bugs betroffen sind. Zu Beginn werden von Googles Fuzz-Testing-Werkzeug OSS-Fuzz gefundene Schwachstellen verwaltet, später sollen unter anderem Daten aus Paketmanagern wie NPM oder PyPI hinzukommen.

OSS-Fuzz wurde in einer Kooperation von Google mit der Core Infrastucture Initiative entwickelt und 2016 erstmals öffentlich vorgestellt. Open-Source-Software wird von dem Tool mittels Fuzzing auf Schwachstellen überprüft - dabei wird Software mit bewusst fehlerhaften bzw. unvollständigen Eingabedaten getestet. Das Verfahren findet auf diesem Weg Fehler, welche normalerweise nicht auffallen, da menschliche Tester meist nur plausible Daten nutzen. Bisher hat OSS-Fuzz laut der GitHub-Seite etwa 25.000 Bugs in 375 Projekten aufgespürt.

Neben der Schwachstellensuche soll OVE auch das Auffinden betroffener Versionen automatisieren. Eine sogenannte automatisierte Impact-Analyse sowie Bisektion-Verfahren kommen dabei zum Einsatz, wobei letzteres Verfahren Commits auffinden kann, welche bestimmte Bugs eingebracht haben.

Nähere Informationen sind dem Open-Source-Blog bei Google zu entnehmen. Der Quellcode des Projekts ist auf GitHub unter der Apache-2-Lizenz veröffentlicht worden.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE