1 min de leitura ·

Google encoraja uso de técnica “fuzzing” para descoberta novas vulnerabilidades em projetos de código aberto

O serviço OSS-Fuzz já ajudou a corrigir mais de 8.000 vulnerabilidades de segurança e 26.000 outros bugs em projetos de código aberto desde sua estreia em 2016.

Fuzzing é uma técnica de teste de software que tenta encontrar bugs injetando dados aleatórios ou inválidos como entradas para programas de computador.

O Google pagará recompensas para quem encontrar vulnerabilidades não identificadas anteriormente em projetos, com prêmios que variam entre 1.000 e 20.000 dólares.

Fonte: https://www.theregister.com/2022/09/08/google_fuzz_rewards/

rafael

2 anos atrás

Fiquei curioso em como poderia usar a técnica em projetos próprios, então fui atrás de mais informações. Encontrei a documentação do OSS-Fuzz, mas lá eles tem um requisito para usar o serviço. Em tradução livre:

Para ser aceito no OSS-Fuzz, um projeto de código aberto deve ter uma base de usuários significativa e/ou ser crítico para a infraestrutura global de TI.

Então fui procurar algo no FAQ, e encontrei:

Meu projeto não é open source. Posso usar OSS-Fuzz?
Você não pode usar o OSS-Fuzz, mas pode usar o ClusterFuzz no qual o OSS-Fuzz é baseado. ClusterFuzz é uma infraestrutura fuzzing de código aberto que você pode implantar em seu próprio ambiente e executar continuamente em escala.

OSS-Fuzz é uma instância de produção do ClusterFuzz, mais o código que vive no repositório OSS-Fuzz: scripts de compilação, arquivos project.yaml com contatos, etc.

Se alguém já tiver usado uma dessas ferramentas, seria legal contar aqui para compartilhar mais informações sobre elas 👍

samuelhaidu

2 anos atrás

Interessante eu não conhecia essa tecnica. Trabalho com antifraude eu deveria começar a usar isso. Alguem aqui já utiliza essa tenica? Uma coisa também um certo sonho é um dia usar algoritmos geneticos para testar software até ele dar algum bug ou problema de performance.