r   e   k   l   a   m   a
r   e   k   l   a   m   a

LibreOffice bezpieczne jak nigdy dotąd dzięki automatycznym fuzzerom Google

Strona główna AktualnościBEZPIECZEŃSTWO

Nowe wersje LibreOffice przyniosą znaczny wzrost stabilności działania i odporności na ataki. To zasługa sięgnięcia po OSS-Fuzz, inicjatywy Google’a mającej na celu automatyczne wyszukiwanie błędów w otwartoźródłowym oprogramowaniu. Od jej uruchomienia minęło pięć miesięcy, a już pozwoliło to wykryć w testowanych 47 projektach ponad tysiąc błędów, z których ponad 240 mogło przerodzić się w luki bezpieczeństwa. Deweloperzy najlepszego wolnego pakietu biurowego chwalą się jednak, że poszli znacznie dalej – dzięki staraniom Red Hata, OSS-Fuzz zostało włączone w procesy bezpieczeństwa LibreOffice, przynosząc polepszenie jakości kodu źródłowego.

Dla niewtajemniczonych – fuzzing to metoda testowania oprogramowania, w której do programu wprowadza się losowo wybrane dane, także niepoprawne, a następnie obserwowanie tego, co się dalej dzieje z programem, w szczególności kiedy i jak się zawiesi. Testy takie nie są jednak łatwe, większość programistów nie wie, jak z nich korzystać, mimo że potrafią odkryć błędy niezauważalne nawet dla doświadczonych deweloperów.

Stąd też inicjatywa OSS-Fuzz: Google przygotowało zautomatyzowaną platformę analizy kodu źródłowego, która wykorzystuje kilka silników fuzzujących ogólnego zastosowania, w połączeniu z narzędziami do sanityzacji (czyszczenia) kodu – to samo, co do tej pory wewnętrznie było wykorzystywane do wykrywania błędów w Chromium. To wszystko zaś działa na rozproszonym środowisku uruchomiowym ClusterFuzz, które automatycznie wypełnia trackery błędów i udostępnia raporty o stanie kodu.

r   e   k   l   a   m   a

Praca automatycznej platformy okazała się bardzo owocna. Dwa tygodnie temu Google poinformowało, że dzięki OSS-Fuzz znalazło liczne luki w bezpieczeństwie popularnych pakietów software’owych, i to nie tylko dotyczące niewłaściwej obsługi pamięci, ale też niekiedy samej logiki programu. W samym LibreOffice, które jako jedyny pakiet biurowy uczestniczy w projekcie, znaleziono aż 33 takie błędy.

Teraz The Document Foundation pochwaliło się włączeniem OSS-Fuzz na stałe do procesu rozwoju LibreOffice. Ma to pozwolić na wychwycenie błędów w ciągu godzin od pojawienia się kodu w repozytoriach – i naprawieniu ich jeszcze przed wydaniem kompilacji dla użytkowników.

Obecnie, według przedstawionych przez deweloperów LibreOffice danych, projekt ten osiągnął bardzo dobry wskaźnik jednej setnej błędu na tysiąc linii kodu. A tych jest ponad 6,3 miliona. W takiej skali ręczne ich sprawdzenie nie jest już możliwe. 33 wykryte automatycznie błędy zostały już jednak usunięte, na długo przed terminem ich publicznego ujawnienia – pochwalił się Caolán McNamara z Red Hata, który stoi na czele zespołu bezpieczeństwa LibreOffice.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłaś naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.