Google findet hunderte Sicherheitslücken in Open-Source-Software

10. Mai 2017, 13:31
17 Postings

Innerhalb von fünf Monaten – Unternehmen schafft finanzielle Anreize für Beteiligung an OSS-Fuzz

Unter dem Namen OSS-Fuzz hat Google Ende letzten Jahres ein Projekt vorgestellt, mit dem man die Sicherheit von Open-Source-Software verbessern will. Fünf Monate später zieht man eine erste Bilanz – und die fällt äußerst positiv aus.

Sicherheitslücken

Seit dem Start habe OSS-Fuzz mehr als 1.000 schwere Fehler in Open-Source-Software aufgespürt, heißt es in einem Blogposting. Gut ein Viertel davon sei sicherheitsrelevant, hätte also von Angreifern für ihre Zwecke ausgenutzt werden können.

Teilnehmer

Bei OSS-Fuzz stellt Google die notwendige Infrastruktur, interessierte Projekte müssen aber ihre Teilnahme selbst beantragen. Bisher haben das 47 Open-Source-Unterfangen getan, auf die sich dann all dies Bugs auch aufteilen. Die meisten Sicherheitslücken wurden dabei in Libreoffice (33) gefunden, 25 fanden sich in PCRE2 gefolgt von 17 in FFMPEG.

Finanzieller Anreiz

Nun will Google die Anzahl der an OSS-Fuzz teilnehmenden Projekte noch weiter erhöhen, und schafft dafür auch finanzielle Anreize. So gibt es für alle, die die Anbindung an OSS-Fuzz vornehmen, eine Prämie in der Höhe von 1.000 Dollar. Für eine engere Anbindung und Optimierungen für die Tests werden dann bis zu 5.000 Dollar ausbezahlte. Damit will man eine Art Entschädigung für den anfänglichen Aufwand der Projekte bieten.

Regeln

Betont sei allerdings, dass dieses Angebot nicht für jedes x-beliebige Open-Source-Programm gilt. So muss ein Programm entweder eine große Nutzerbasis haben oder kritisch für die globale IT-Infrastruktur sein, um überhaupt OSS-Fuzz nutzen zu können.

OSS-Fuzz unterzieht die jeweilige Software einer Reihe von automatisierten Tests. Dabei werden unter anderem laufend zufällige Eingaben erzeugt, und überprüft, wie das jeweilige Programm darauf reagiert – das sogenannte "Fuzzing". (apo, 10.5.2017)

  • Artikelbild
    screenshot: andreas proschofsky / standard
    Share if you care.