Google njoftoi të mërkurën se po ofron akses falas në kuadrin e tij të paqartë, OSS-Fuzz, në një përpjekje për të inkurajuar përdorimin e tij nga zhvilluesit dhe studiuesit. Ky kuadër përdor modele të mëdha gjuhësore (LLM) për të automatizuar aspektet manuale të testimit fuzz dhe synon të zbulojë dobësitë e ditës zero në softuer.

Në postimin në blogun e sigurisë të kompanisë, anëtarët e ekipit të sigurisë me burim të hapur të Google, Dongge Liu dhe Oliver Chang, së bashku me anëtarët e ekipit të sigurisë së gjuhës së makinës, Jan Nowakowski dhe Jan Keller, theksuan përmirësimet e prekshme të sigurisë që mund të arrihen duke përdorur OSS-Fuzz dhe LLM. Ata vunë në dukje se përdorimi i LLM-ve për të shkruar kodin specifik të projektit ka rritur ndjeshëm mbulimin e paqartë dhe ka çuar në zbulimin e dy dobësive të reja në projektet e përdorura gjerësisht, cJSON dhe libplist.

Përkundër faktit se të dy këto projekte tashmë kishin pësuar fuzzy për vite me rradhë, përdorimi i kodit të gjeneruar nga LLM zbuloi dobësi që përndryshe mund të kishin kaluar pa u vënë re. Kjo nënvizon vlerën e investimit në teknikat e avancuara të fuzzimit për zbulimin e dobësive që mund të kenë mbetur të pazbuluara dhe të parregulluara për një kohë të pacaktuar.

John McShane, menaxher i lartë i produkteve të sigurisë në Synopsys Software Integrity Group, theksoi popullaritetin në rritje të fuzzing në zbulimin e dobësive të panjohura ose të ditës zero, duke përmendur zbulimin e cenueshmërisë famëkeqe Heartbleed duke përdorur një produkt komercial fuzzing.

Gisela Hinojosa, drejtuese e shërbimeve të sigurisë kibernetike në Cobalt Labs, theksoi natyrën e automatizuar të testeve të fuzzimit dhe efektivitetin e tyre në zbulimin e dobësive të frutave me varje të ulët dhe me ndikim të lartë siç janë tejmbushjet e tamponëve. Natyra e paqartë e fuzzimit e bën atë një mënyrë relativisht të lehtë për të zbuluar dobësitë pa pasur nevojë për mbikëqyrje të vazhdueshme.

Megjithatë, Shane Miller, një këshilltar i Fondacionit Rust dhe një bashkëpunëtor i lartë në Këshillin Atlantik, paralajmëroi se investimi në mjetet e testimit dinamik si fuzzing nuk duhet të shihet si një zëvendësim për taktikat e sigurta nga dizajni. Ndërsa fuzzing është një mjet i fuqishëm për përmirësimin e sigurisë së softuerit, Miller theksoi rëndësinë e zgjedhjes së gjuhëve programuese të sigurta për kujtesën si pjesë e një qasjeje gjithëpërfshirëse për zhvillimin e softuerit të sigurt.

Në përgjithësi, lëvizja e Google për të ofruar akses falas në kuadrin e saj të paqartë, OSS-Fuzz, pasqyron rëndësinë në rritje të teknikave të avancuara si fuzzimi i zgjeruar me LLM në zbulimin e dobësive në softuer. Ndërsa peizazhi i kërcënimit vazhdon të evoluojë, përqafimi i qasjeve inovative për testimin e sigurisë do të jetë thelbësor në zbutjen e rreziqeve që lidhen me dobësitë e softuerit.

Lidhja e burimit