La tecnica di Fuzz-testing delle applicazione è molto ben conosciuta ed utilizzata; si tratta di fornire in input al software che si sta testando dati non validi, inaspettati o semplicemente casuali, per vedere come questo si comporta.

Da qualche tempo Google utilizza un bot, chiamato OSS-Fuzz, che utilizzando questa tecnica cerca di scoprire -e riportare- bug su diversi software open source. E, lo sappiamo, Google ha tanta potenza di calcolo sotto i piedi, al punto che questo bot negli scorsi 5 mesi ha elaborato ed eseguito all’incirca 10 miliardi di test al giorno su diversi software.

E, bisogna dire, questa operazione sta dando i suoi frutti; sono stati infatti scoperti, grazie a questa tecnica, più di 1000 bug solo su 47 progetti; di questi 1000, almeno 264 sono possibili bug di sicurezza!

Alcuni dei progetti analizzati sono molto utilizzati da chiunque usi un sistema Linux, quali ffmpeg, LibreOffice e Wireshark.

La parte sicuramente interessante è che Google fornisce e pubblica i risultati, scatenando la creazione di CVE ed il patching in tempi brevi da parte dei progetti che hanno deciso di aderire all’iniziativa e farsi controllare.

Ha inoltre deciso di ampliare il proprio programma di riconoscimento per il patching (un iniziativa di Google che premia il patching con denaro), per includere riconoscimenti aggiuntivi a chi include l’oss-fuzzing all’interno del proprio progetto.

Insomma, una spinta verso un software più stabile e sicuro, che ne pensate? Noi vi lasciamo il link al post di Google con i risultati dettagliati dell’analisi.

Matteo Cappadonna

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.