Google pokreće novi projekt otvorenog koda za pronalazak ranjivosti u programskom kodu

Google je najavio novi open-source projekt dizajniran kako bi asistirao developerima softvera pri pronalasku ranjivosti u kodu, bez previše muke, a s ciljem pomaganja poboljšanja sigurnosti samog softvera u cijelosti.

Iz tehnološkog giganta navode da se sa samo nekoliko linija koda, GitHub korisnici mogu integrirati na alat pod imenom ClusterFuzzLite. Čim to učine, on "pregledava" njihov kod i obavještava ukoliko pronađe ranjivosti. Naravno, baziran je na onome što postoji otprije i nadopunjava se doslovno svakodnevno.

Bit će od ogromne pomoći jer ljudskom oku će promaknuti brojni detalji, što ne čudi kad se radi o stotinama i tisućama linija koda. Uostalom, nebrojeno puta se potvrdilo da promiču ključne stavke i potom se neopažene ranjivosti iskoriste od strane kibernetičkih kriminalaca, a to nikako ne može završiti dobro.

Također, iz Googlea navode da će ClusterFuzzLite biti ponuđen kao dio kompanijina OSS-Fuzz programa, koji je od predstavljanja 2016. pomogao u više od 500 kritičnih open-source projekata na način da je detektirao 6500 ranjivosti i ispravio više od 21.000 funkcionalnih bugova.

Popularni open-source projekti kao što su systemd i curl već su ugradili ClusterFuzzLite u svoj proces pregleda koda.

"Kad ljudski recenzenti "kimnu glavom" pa odobre kod, a nakon toga statički analizatori koda i "linteri" ne mogu otkriti više nijedan problem, "fuzzing" je ono što vodi na sljedeću razinu tzv. zrelosti i robusnosti koda. Dakle, OSS-Fuzz i ClusterFuzzLite pomažu održati curl kao kvalitetan projekt, 24 sata dnevno, svaki dan i kroz svaki "commit", napominje Daniel Stenberg, curlov autor.

ClusterFuzzLite trenutno podržava GitHub Actions i Google Cloud Build, iako Google napominje da je alat kreirao s ciljem da ga se može širiti, kao i koristiti, s drugim sustavima kontinuirane integracije (CI) bez previše truda.