LibreOffice bezpieczne jak nigdy dotąd dzięki automatycznym fuzzerom Google
Nowe wersje LibreOffice przyniosą znaczny wzrost stabilnościdziałania i odporności na ataki. To zasługa sięgnięcia poOSS-Fuzz, inicjatywy Google’a mającej na celu automatycznewyszukiwanie błędów w otwartoźródłowym oprogramowaniu. Od jejuruchomienia minęło pięć miesięcy, a już pozwoliło to wykryćw testowanych 47 projektach ponad tysiąc błędów, z których ponad240 mogło przerodzić się w luki bezpieczeństwa. Deweloperzynajlepszego wolnego pakietu biurowego chwalą się jednak, że poszliznacznie dalej – dzięki staraniom Red Hata, OSS-Fuzz zostałowłączone w procesy bezpieczeństwa LibreOffice, przynoszącpolepszenie jakości kodu źródłowego.
Dla niewtajemniczonych – fuzzing to metoda testowaniaoprogramowania, w której do programu wprowadza się losowo wybranedane, także niepoprawne, a następnie obserwowanie tego, co siędalej dzieje z programem, w szczególności kiedy i jak się zawiesi.Testy takie nie są jednak łatwe, większość programistów niewie, jak z nich korzystać, mimo że potrafią odkryć błędyniezauważalne nawet dla doświadczonych deweloperów.
Stąd też inicjatywa OSS-Fuzz: Google przygotowałozautomatyzowaną platformę analizy kodu źródłowego, którawykorzystuje kilkasilnikówfuzzujących ogólnego zastosowania, w połączeniu z narzędziami dosanityzacji(czyszczenia) kodu – to samo, co do tej pory wewnętrznie byłowykorzystywane do wykrywania błędów w Chromium. To wszystko zaśdziała na rozproszonym środowisku uruchomiowym ClusterFuzz,które automatycznie wypełnia trackery błędów i udostępniaraporty o stanie kodu.
Praca automatycznej platformy okazała się bardzo owocna. Dwatygodnie temu Google poinformowało, że dzięki OSS-Fuzz znalazłoliczne luki w bezpieczeństwie popularnych pakietów software’owych,i to nie tylko dotyczące niewłaściwej obsługi pamięci, ale teżniekiedy samej logiki programu. W samym LibreOffice, które jakojedyny pakiet biurowy uczestniczy w projekcie, znaleziono aż33 takie błędy.
Teraz The Document Foundation pochwaliło się włączeniemOSS-Fuzz na stałe do procesu rozwoju LibreOffice. Ma to pozwolićna wychwycenie błędów w ciągu godzin od pojawienia się kodu wrepozytoriach – i naprawieniu ich jeszcze przed wydaniem kompilacjidla użytkowników.
Obecnie, według przedstawionych przez deweloperów LibreOfficedanych, projekt ten osiągnął bardzo dobry wskaźnik jednej setnejbłędu na tysiąc linii kodu. A tych jest ponad 6,3 miliona. Wtakiej skali ręczne ich sprawdzenie nie jest już możliwe. 33wykryte automatycznie błędy zostały już jednak usunięte, nadługo przed terminem ich publicznego ujawnienia – pochwalił sięCaolán McNamara z Red Hata, który stoi na czele zespołubezpieczeństwa LibreOffice.
