Google’s automatische bugzoeker vond al meer dan 9.000 kwetsbaarheden

Google laat vandaag weten dat OSS-Fuzz, de automatische bugzoeker, al meer dan 9.000 kwetsbaarheden heeft gevonden in breed gebruikte opensource projecten. Dat is een mooi resultaat van twee jaar automatisch zoekwerk van de dienst van Google.

OSS-Fuzz werd in de loop van december 2016 uitgebracht. De automatische tool is door Google ontwikkeld en kan kwetsbaarheden vinden in applicaties. De scans vinden plaats via een techniek die fuzzing heet. Het is een decenniaoude techniek, die de laatste jaren steeds populairder is.

Google’s fuzzers

Een fuzzer is een techniek die grote hoeveelheden willekeurige data voert aan een softwaretoepassing. Vervolgens analyseert de fuzzer de output op abnormaliteiten en crashes. Dat kan ontwikkelaars helpen om snel bugs op te speuren in de code van hun toepassingen en apps. Google is een van de bedrijven die de afgelopen paar jaar steeds meer aandacht vraagt voor de techniek.

De onderneming vraagt zowel ontwikkelaars als securityonderzoekers om gebruik te maken van fuzzers. De afgelopen jaren bracht Google, om die ontwikkeling te stimuleren, een aantal opensource fuzzers uit. Een daarvan was Flayer, dat in 2007 uitgebracht werd. Maar het grootste project van Google is OSS-Fuzz, dat in december 2016 op de markt kwam.

Steeds meer automatiseren

OSS-Fuzz kwam als opensource tool op de markt te staan en is voor iedereen te downloaden op GitHub. Met de software kunnen ontwikkelaars snel kwetsbaarheden vinden en oplossen. Tot voor kort was er nog altijd een grote rol weggelegd voor mensen in het proces, maar met de nieuwste updates is die rol kleiner dan ooit.

Google laat in een blogpost weten dat OSS-Fuzz bugs zocht in deelnemende projecten. Daarna keken ontwikkelaars van Google naar de gevonden kwetsbaarheden. Op basis daarvan schreven zij een rapportage om hun bevindingen door te geven aan ontwikkelaars. Maar een nieuwe update neemt die ontwikkelaars van Google weg en automatiseert het geheel.

Het project kan daardoor bugs sneller identificeren en rapporteren. De hoop van Google is om zo zoveel mogelijk bugs zo snel mogelijk op te lossen.