OSS-Fuzz: Google fördert Open-Source-Soft­ware mit Fuzzing-Schnittstelle

Anfang des Jahres stellte Google OSS-Fuzz vor, einen Soft­ware-Roboter zum Testen von Open-Source-Soft­ware. Nun hat das Unter­nehmen in einem Blog-Beitrag die ersten Ergeb­nisse prä­sentiert. Gleich­zeitig kündigt es eine Be­lohnung von 1000 US$ für Pro­jekte an, die das Fuzzing mit OSS-Fuzz bereits von Haus aus vorsehen. Für eine tiefere Integra­tion des Pro­gramms zahlt Google sogar 5000 US$.

Fuzzing nennt man eine Technik für Softwaretests, bei der die Anwendungen mit Zufallszahlen gefüttert werden. Falls sie daraufhin abstürzen oder andere Fehler auftreten, lassen sich durch Überprüfen des Vorgangs Programmierfehler und Sicherheitslecks aufspüren. Der Vorteil von Fuzzing gegenüber anderen Verfahren ist, dass der grundlegende Test automatisiert werden kann.

Google hat auf diese Weise nach eigenen Angaben in verschiedenen Programmen mehr als 1000 Bugs gefunden, darunter 264 potenzielle Sicherheitslecks. Etliche davon tauchten in bekannten Open-Source-Projekten auf: 33 Bugs fanden die Analysten allein in LibreOffice, 17 in FFmpeg, acht in SQLite, sieben in Wireshark und zehn in Freetype 2.