Automatyczne wyszukiwanie podatności bezpieczeństwa na dużą skalę

Mimo tego, że długo nie pojawiałem się na blogu to nie próżnowałem: popełniłem wpis na blogu CERT Polska, opisujący wykorzystywane przeze mnie metody i rozwiązania do detekcji podatności bezpieczeństwa 🙂

Jest to tekstowe rozszerzenie mojej prezentacji z Confidence 2018. Poniżej zajawka:

Problematyka podatności bezpieczeństwa dotyczy praktycznie wszystkich programów lub bibliotek wykorzystywanych w codziennej pracy. Proaktywność w tej kwestii jest jednym z kluczy do dostarczania wysokiej jakości oprogramowania, które zapewni spokojny sen osobom zajmującym się bezpieczeństwem IT.

W ciągu ostatnich dwóch lat firma Google za pomocą inicjatywy OSS-Fuzz, wykryła oraz zgłosiła ponad osiem tysięcy błędów** w szerokim spektrum projektów open source, m.in. Tor Browser, ImageMagick czy FreeType2.  

CERT Polska również pracuje nad rozwojem mechanizmów i wyszukiwaniem podatności w projektach wykorzystywanych szeroko w Internecie. W tym momencie równolegle testujemy 12 projektów z 56 obsługiwanych przez nasz system.

Efekt? Znaleźliśmy prawie **500 błędów** w oprogramowaniu open source, z czego ponad **130 miało wpływ na bezpieczeństwo** i otrzymało numer podatności CVE.

Zachęcam do zapoznania się z całością tekstu oraz slajdami 🙂