Anfang des Jahres stellte Google OSS-Fuzz vor, einen Software-Roboter zum Testen von Open-Source-Software. Nun hat das Unternehmen in einem Blog-Beitrag die ersten Ergebnisse präsentiert. Gleichzeitig kündigt es eine Belohnung von 1000 US$ für Projekte an, die das Fuzzing mit OSS-Fuzz bereits von Haus aus vorsehen. Für eine tiefere Integration des Programms zahlt Google sogar 5000 US$.
Fuzzing nennt man eine Technik für Softwaretests, bei der die Anwendungen mit Zufallszahlen gefüttert werden. Falls sie daraufhin abstürzen oder andere Fehler auftreten, lassen sich durch Überprüfen des Vorgangs Programmierfehler und Sicherheitslecks aufspüren. Der Vorteil von Fuzzing gegenüber anderen Verfahren ist, dass der grundlegende Test automatisiert werden kann.
Google hat auf diese Weise nach eigenen Angaben in verschiedenen Programmen mehr als 1000 Bugs gefunden, darunter 264 potenzielle Sicherheitslecks. Etliche davon tauchten in bekannten Open-Source-Projekten auf: 33 Bugs fanden die Analysten allein in LibreOffice, 17 in FFmpeg, acht in SQLite, sieben in Wireshark und zehn in Freetype 2.
