Google запустила новый проект для постоянного тестирования открытого ПО (OSS) на наличие уязвимостей.
Новый сервис OSS-Fuzz будет доступен в бета-версии с 12 декабря, но по крайней мере на первых порах он будет открыт только для тех Open-Source-проектов, которые имеют очень большую базу пользователей или критически важны для глобальной ИТ-инфраструктуры.
Google разрабатывала эту программу последние несколько лет вместе с членами группы Core Infrastructure Initiative, сформированной Linux Foundation с фокусом на усиление безопасности разработок сообщества Open Source. В число участников группы входят Amazon, Cisco, Google, HP, IBM и Fujitsu.
Как поясняют инженеры Google в блоге Testing Blog, цель OSS-Fuzz состоит в том, чтобы запустить постоянно действующий сервис фаззинга по безопасности для жизненно важного ПО Open Source. Как конечный ориентир, Google хотела бы сделать фаззинг по линии безопасности стандартной частью среды разработки свободного ПО, чтобы можно было быстро идентифицировать и устранять его изъяны.
Фаззинг представляет собой широко используемый метод для выявления ошибок в кодировании и реализации программного продукта путем загрузки в него интенсивного потока случайных и аномальных данных, чтобы увидеть, приведет ли это к авариям. Разработчики и специалисты по тестированию часто используют средства фаззинга для быстрого выявления трудноуловимых ошибок, включая ошибки переполнения буфера, внедрение SQL-кода и другие проблемы.
«OSS является стержнем многих приложений, сайтов, сервисов и сетевых решений, из которых складывается то, что называют Интернетом, — пишут инженеры Google. — И важно, чтобы Open Source-фундамент был стабильным, безопасным и надежным, т. к. его слабины и трещины влияют на все, что на нем построено».
OSS-Fuzz будет использовать разнообразные движки фаззинга и так называемые Sanitizers, или средства тестирования для C++, чтобы проводить постоянные тесты безопасности свободных проектов. Первое время проект будет использовать движок libFuzzer и средство быстрого обнаружения ошибок в оперативной памяти AddressSanitizer, а весь сервис фаззинга будет работать в массово-распределенной среде.
По информации Google, первые серии тестов на базе сервиса показали положительные результаты. Уже в ранних тестах OSS-Fuzz обнаружил около 150 дефектов в целом ряде Open Source-проектов, многие из которых широко используются.
Помимо заявления, что OSS-Fuzz ориентирован только на крупные свободные проекты и проекты, связанные с критической инфраструктурой, Google не конкретизировала ни одного примера проектов, которые первыми войдут в программу тестирования.
Для проектов, включенных в программу тестирования, будет автоматически действовать установленный Google
Безопасность и надежность ПО Open Source становится все более важным вопросом для корпоративных пользователей. В опросе по использованию открытого ПО среди предприятий, осуществленном в этом году компанией Black Duck Software, больше 65% респондентов сообщили, что они задействуют Open Source-компоненты для ускорения разработок, а около 55% сообщили об использовании OSS в продуктивных средах.
В то же время более 50% опрошенных компаний сказали, что у них нет официальной политики одобрения или выбора свободного кода, и примерно такая же доля респондентов сообщила, что у них нет процессов для отслеживания или контроля использования OSS в своей среде.
Эксперты по безопасности полагают, что неограниченное использование ПО Open Source существенно повышает риски безопасности для организаций.