Automatisierte Tests
Der Internetriese hat OSS Fuzz gemeinsam mit der Core Infrastucture Initiative entwickelt und 2016 der Öffentlichkeit vorgestellt. Das Tool untersucht Open-Source-Software mit Fuzzing auf Schwachstellen. Bei dem Testverfahren blickt das Werkzeug anders als bei Unit-Tests oder statischer Codeanalyse nicht auf den Sourcecode, sondern füttert die zu testende Software mit Eingabedaten, die zufällig oder bewusst fehlerhaft beziehungsweise unvollständig sind.
Auf die Weise findet das Fuzzing-Verfahren Fehler, die unter anderem durchrutschen, wenn menschliche Tester nur plausible Daten nutzen. Laut der GitHub-Seite zu OSS Fuzz hat das Tool bisher gut 25.000 Bugs in 375 Open-Source-Projekten aufgespürt.
Versionssuche für Maintainer und Consumer
OVE soll neben der Schwachstellensuche auch das Auffinden betroffener Versionen automatisieren. Dazu setzt der Dienst auf automatisierte Impact-Analyse und Bisektion-Verfahren. Letzteres dient zum Auffinden des Commits, der einen bestimmten Bug in das Projekt eingebracht hat. Git kennt dafür den Befehl git-bisect.Wer eine Open-Source-Library nutzt, kann über eine API auf OSV zugreifen und abfragen, ob eine bestimmte Version von einer gefundenen Schwachstelle betroffen ist. Für die Abfrage ist ein API-Key aus der Google APIs Console erforderlich.
Neben einer Abfrage, ob ein spezifischer Commit oder eine bestimmte Version eines Projekts von einer bekannten Schwachstelle betroffen ist, bietet die API eine Methode, um die Beschreibung einer Schwachstelle zu einer ID in der OSV-Datenbank abzurufen.
Weitere Details lassen sich dem Open-Source-Blog bei Google entnehmen. Die Abfrage auf die OSV-Website ist auf 100 Requests pro Minute begrenzt. Der Sourcecode des Projekts steht unter Apache-2-Lizenz auf GitHub bereit.
