Automatyczne wyszukiwanie podatności bezpieczeństwa na dużą skalę

Mimo tego, że długo nie pojawiałem się na blogu to nie próżnowałem: popełniłem wpis na blogu CERT Polska, opisujący wykorzystywane przeze mnie metody i rozwiązania do detekcji podatności bezpieczeństwa 🙂

Jest to tekstowe rozszerzenie mojej prezentacji z Confidence 2018. Poniżej zajawka:

Problematyka podatności bezpieczeństwa dotyczy praktycznie wszystkich programów lub bibliotek wykorzystywanych w codziennej pracy. Proaktywność w tej kwestii jest jednym z kluczy do dostarczania wysokiej jakości oprogramowania, które zapewni spokojny sen osobom zajmującym się bezpieczeństwem IT.

W ciągu ostatnich dwóch lat firma Google za pomocą inicjatywy OSS-Fuzzwykryła oraz zgłosiła ponad osiem tysięcy błędów w szerokim spektrum projektów open source, m.in. Tor Browser, ImageMagick czy FreeType2.

CERT Polska również pracuje nad rozwojem mechanizmów i wyszukiwaniem podatności w projektach wykorzystywanych szeroko w Internecie. W tym momencie równolegle testujemy 12 projektów z 56 obsługiwanych przez nasz system.

Efekt? Znaleźliśmy prawie 500 błędów w oprogramowaniu open source, z czego ponad 130 miało wpływ na bezpieczeństwo i otrzymało numer podatności CVE.

Zachęcam do zapoznania się z całością tekstu oraz slajdami 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.