La tecnica di Fuzz-testing delle applicazione è molto ben conosciuta ed utilizzata; si tratta di fornire in input al software che si sta testando dati non validi, inaspettati o semplicemente casuali, per vedere come questo si comporta.
Da qualche tempo Google utilizza un bot, chiamato OSS-Fuzz, che utilizzando questa tecnica cerca di scoprire -e riportare- bug su diversi software open source. E, lo sappiamo, Google ha tanta potenza di calcolo sotto i piedi, al punto che questo bot negli scorsi 5 mesi ha elaborato ed eseguito all'incirca 10 miliardi di test al giorno su diversi software.
E, bisogna dire, questa operazione sta dando i suoi frutti; sono stati infatti scoperti, grazie a questa tecnica, più di 1000 bug solo su 47 progetti; di questi 1000, almeno 264 sono possibili bug di sicurezza!
Alcuni dei progetti analizzati sono molto utilizzati da chiunque usi un sistema Linux, quali ffmpeg, LibreOffice e Wireshark.
La parte sicuramente interessante è che Google fornisce e pubblica i risultati, scatenando la creazione di CVE ed il patching in tempi brevi da parte dei progetti che hanno deciso di aderire all'iniziativa e farsi controllare.
Ha inoltre deciso di ampliare il proprio programma di riconoscimento per il patching (un iniziativa di Google che premia il patching con denaro), per includere riconoscimenti aggiuntivi a chi include l'oss-fuzzing all'interno del proprio progetto.
Insomma, una spinta verso un software più stabile e sicuro, che ne pensate? Noi vi lasciamo il link al post di Google con i risultati dettagliati dell'analisi.
Leggi il contenuto originale su Mia mamma usa Linux!