Tags:
Node Thumbnail

ช่องโหว่การจัดการหน่วยความจำที่เกิดขึ้นบ่อยๆ เช่น use-after-free หรือ buffer overflow กลายเป็นช่องทางไปสู่ช่องโหว่ร้ายแรงกันอยู่เนืองๆ ตอนนี้กูเกิลก็ร่วมกับ Core Infrastructure Initiative เปิดตัว OSS-Fuzz ซอฟต์แวร์สร้างชุดทดสอบเพื่อหาช่องโหว่เหล่านี้โดยอัตโนมัติ

OSS-Fuzz รวมเอาเอนจินสร้างชุดทดสอบหลายตัวไว้ด้วยกัน แล้วสร้างระบบรันการทดสอบแบบขนาน ทำให้การทดสอบทำได้อย่างรวดเร็ว

ตอนนี้มีโครงการโอเพนซอร์สจำนวนหนึ่งใช้ OSS-Fuzz อยู่แล้ว เช่น FreeType สามารถตรวจพบช่องโหว่ heap overflow ภายในไม่กี่ชั่วโมงหลังโค้ดถูกส่งเข้าโครงการ ตัว OSS-Fuzz แจ้งนักพัฒนาโดยอัตโนมัติ เมื่อแก้ปัญหาสำเร็จแล้ว OSS-Fuzz ก็ตรวจซ้ำแล้วยืนยันว่าช่องโหว่ถูกแก้แล้ว ตอนนี้ช่องโหว่ที่พบโดย OSS-Fuzz รวม 150 ช่องโหว่แล้ว

การเข้าร่วมโครงการต้องสร้างแนวทางสำหรับการสร้างชุดทดสอบขึ้นมาให้ซอฟต์แวร์ไปรันทดสอบ ตัวโครงการหลักดูแลโดยกูเกิลเป็นหลัก และกูเกิลจะเปิดรับโครงการใหม่โดยต้องเป็นโครงการโอเพนซอร์สที่มีความสำคัญสูง และเมื่อโครงการเข้าร่วมแล้ว ช่องโหว่จะถูกเปิดเผยตามแนวทางของกูเกิล คือ 90 วันหลังพบช่องโหว่ สามารถขอให้รอได้อีก 14 วัน

ที่มา - Google Open Source

Get latest news from Blognone