Google: fuzzing noodzakelijke testmethode voor alle softwareprojecten
Alle softwareontwikkelaars zouden gebruik van fuzzing moeten maken wanneer ze hun code op kwetsbaarheden controleren, toch wordt dit nog altijd niet voldoende gedaan, aldus Google. Fuzzing is een methode voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen.
Recentelijk wisten onderzoekers van Google door middel van fuzzing een kwetsbaarheid in het TinyGLTF-project te vinden. TinyGLTF is een library voor het laden en opslaan van glTF-data. Via het beveiligingslek (CVE-2022-3008) is het mogelijk om kwaadaardige code uit te voeren in projecten die van TinyGLTF gebruikmaken. Volgens Google gaat het hier om een eenvoudig te vinden kwetsbaarheid die serieuze gevolgen kan hebben.
"De ontdekking laat zien dat fuzzing, een testmethode die voornamelijk bekend staat voor het vinden van memory corruption kwetsbaarheden in C/C++-code, een grote potentie heeft voor het vinden van meer soorten kwetsbaarheden", aldus Jonathan Metzman van het Google Open Source Security Team. Google lanceerde zes jaar geleden een eigen fuzzingtool genaamd OSS-Fuzz, waarmee al meer dan achtduizend kwetsbaarheden in opensourcesoftwareprojecten zijn gevonden.
Gezien de potentie en brede toepasbaarheid van fuzzing is het volgens Metzman een noodzakelijke testmethode voor alle softwareprojecten. "Fuzzing heeft nog altijd veel onontdekte potentie in het vinden van meer soorten kwetsbaarheden." Eind vorig jaar maakte Google bekend dat het Apache Log4j via fuzzing onafgebroken op nieuwe kwetsbaarheden controleert.
De tools staan letterlijk in het artikel.
OSS-Fuzz is er om OPEN SOURCE projecten te fuzzen .
Als je je software open source maakt moet je geen probleem hebben met de mogelijkheid dat andere partijen je code bekijken/analyseren/fuzzen .
De tools staan letterlijk in het artikel.
Nou ja, eentje dus :OSS Fuzz .
De vraag naar ervaringen met deze/meer/andere tools is echt wel legitiem .
OSS-Fuzz is er om OPEN SOURCE projecten te fuzzen .
Als je je software open source maakt moet je geen probleem hebben met de mogelijkheid dat andere partijen je code bekijken/analyseren/fuzzen .
Bron:
https://google.github.io/oss-fuzz/faq/#my-project-is-not-open-source-can-i-use-oss-fuzz
En als OSS-Fuzz de beste lekken achterhoudt om te verkopen aan de hoogste TLA bieder, dan is dat zeker wel een probleem. Je doet als ontwikkelaar immers al het niet te automatiseren werk voor Google.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.