Spätestens mit dem Auftauchen der Heartbleed-Lücken in der Verschlüsselungsbibliothek OpenSSL wurde ein Umstand nur allzu offensichtlich: Viele für die Infrastruktur des Internets unerlässliche Open-Source-Projekte werden von einer erschreckend geringen Anzahl an Entwicklern vorangetrieben, die entsprechend oft damit überfordert sind, die Sicherheit ihrer Projekte zu gewährleisten. Dies hat einige Unternehmen dazu veranlasst, zusätzliche Ressourcen zur Verfügung zu stellen, Google versucht nun auf eine weitere Weise in Sicherheitsfragen zu helfen.

OSS Fuzz

Unter dem Namen OSS Fuzz hat Google ein Projekt vorgestellt, das Open-Source-Software automatisiert auf Sicherheitslücken testen soll. Hierfür kombiniert OSS Fuzz mehrere sogenannte Fuzzing-Programme wie AFL oder LibFuzzer, die mittels zufälliger Eingaben Fehler in der getesteten Software auslösen sollen. Auf diese Weise lassen sich oft geläufige Programmierfehler wie Pufferüberläufe entdecken. Parallel dazu kommen Tools wie LeakSanitizer zum Einsatz, um Speicherlecks zu entdecken.

Bedingungen

Solche Tests brauchen natürlich gehörige Rechen-Ressourcen, sollen sie wirklich laufend vorgenommen werden. Genau hier setzt das Angebot von OSS Fuzz an, Google stellt nämlich die Infrastruktur für all diese Tests kostenlos zur Verfügung. Allerdings knüpft man daran einige Bedingungen: So muss ein Programm entweder eine große Nutzerbasis haben oder kritische für die globale IT-Infrastruktur sein, damit es in das Programm aufgenommen wird. Zudem müssen sich die Entwickler verpflichten, alle auf diesem Weg aufgespürten Lücken innerhalb von 90 Tagen zu bereinigen, anschließend wird der zugehörige Fehlereintrag automatisch öffentlich.

Testlauf

Die Vorzüge von OSS Fuzz kann Google dabei mit Zahlen untermauern: In einem begrenzten Testlauf habe man in den letzten Monaten bereits 150 Sicherheitslücken in Open-Source-Programmen aufgespürt. Darunter etwa ein Fehler in der Schriftenbibliothek Freetype, der dank der kontinuierlichen Tests innerhalb eines Tages nach seiner Einführung wieder ausgeräumt wurde.

Das Projekt ist in Zusammenarbeit mit der Core Infrastructure Initiative entstanden, die die Sicherheit von Open-Source-Programmen verbessern will, und der neben Google unter anderem Amazon, Microsoft, IBM und Facebook angehören. (apo, 4.12.2016)