LibreOffice bezpieczne jak nigdy dotąd dzięki automatycznym fuzzerom Google

Strona głównaLibreOffice bezpieczne jak nigdy dotąd dzięki automatycznym fuzzerom Google
24.05.2017 15:52
LibreOffice bezpieczne jak nigdy dotąd dzięki automatycznym fuzzerom Google

Nowe wersje LibreOffice przyniosą znaczny wzrost stabilnościdziałania i odporności na ataki. To zasługa sięgnięcia poOSS-Fuzz, inicjatywy Google’a mającej na celu automatycznewyszukiwanie błędów w otwartoźródłowym oprogramowaniu. Od jejuruchomienia minęło pięć miesięcy, a już pozwoliło to wykryćw testowanych 47 projektach ponad tysiąc błędów, z których ponad240 mogło przerodzić się w luki bezpieczeństwa. Deweloperzynajlepszego wolnego pakietu biurowego chwalą się jednak, że poszliznacznie dalej – dzięki staraniom Red Hata, OSS-Fuzz zostałowłączone w procesy bezpieczeństwa LibreOffice, przynoszącpolepszenie jakości kodu źródłowego.

Dla niewtajemniczonych – fuzzing to metoda testowaniaoprogramowania, w której do programu wprowadza się losowo wybranedane, także niepoprawne, a następnie obserwowanie tego, co siędalej dzieje z programem, w szczególności kiedy i jak się zawiesi.Testy takie nie są jednak łatwe, większość programistów niewie, jak z nich korzystać, mimo że potrafią odkryć błędyniezauważalne nawet dla doświadczonych deweloperów.

Ponad 1000 błędów znalezionych w opensource'owym oprogramowaniu przez OSS-Fuzz
Ponad 1000 błędów znalezionych w opensource'owym oprogramowaniu przez OSS-Fuzz

Stąd też inicjatywa OSS-Fuzz: Google przygotowałozautomatyzowaną platformę analizy kodu źródłowego, którawykorzystuje kilkasilnikówfuzzujących ogólnego zastosowania, w połączeniu z narzędziami dosanityzacji(czyszczenia) kodu – to samo, co do tej pory wewnętrznie byłowykorzystywane do wykrywania błędów w Chromium. To wszystko zaśdziała na rozproszonym środowisku uruchomiowym ClusterFuzz,które automatycznie wypełnia trackery błędów i udostępniaraporty o stanie kodu.

Praca automatycznej platformy okazała się bardzo owocna. Dwatygodnie temu Google poinformowało, że dzięki OSS-Fuzz znalazłoliczne luki w bezpieczeństwie popularnych pakietów software’owych,i to nie tylko dotyczące niewłaściwej obsługi pamięci, ale teżniekiedy samej logiki programu. W samym LibreOffice, które jakojedyny pakiet biurowy uczestniczy w projekcie, znaleziono aż33 takie błędy.

Teraz The Document Foundation pochwaliło się włączeniemOSS-Fuzz na stałe do procesu rozwoju LibreOffice. Ma to pozwolićna wychwycenie błędów w ciągu godzin od pojawienia się kodu wrepozytoriach – i naprawieniu ich jeszcze przed wydaniem kompilacjidla użytkowników.

Obecnie, według przedstawionych przez deweloperów LibreOfficedanych, projekt ten osiągnął bardzo dobry wskaźnik jednej setnejbłędu na tysiąc linii kodu. A tych jest ponad 6,3 miliona. Wtakiej skali ręczne ich sprawdzenie nie jest już możliwe. 33wykryte automatycznie błędy zostały już jednak usunięte, nadługo przed terminem ich publicznego ujawnienia – pochwalił sięCaolán McNamara z Red Hata, który stoi na czele zespołubezpieczeństwa LibreOffice.

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
Komentarze (12)