Több mint 1000 hibát javított az FFmpeg projekt a Google szakembereinek köszönhetően

 ( trey | 2014. január 11., szombat - 22:35 )

A Google biztonsági szakemberei, köszönhetően az adatközpontjaikban rendelkezésükre álló komoly számítási teljesítménynek, kiterjedt automatikus tesztek (fuzzing) alá vethetik az általuk fontosnak vélt programokat, projekteket. Az egyik ilyen belső projektjük az FFmpeg tesztelése volt. A FFmpeg-et számos alkalmazás - Google Chrome, MPlayer, VLC, xine stb. - használja, ezért fontos a biztonsága.

Több mint két évnyi munka után az FFmpeg projekt több mint 1000 olyan hibát javíthatott ki, amelyet a Google mérnökei fedeztek fel. Ezek közt biztonsági hibák is találhatók. Ezzel párhuzamosan a Libav projekt - FFmpeg fork - is javított több mint 400 hibát.

Részletek a Google Online Security Blog bejegyzésében.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Akkor a libav projektben maradt közel 600 hiba. :-)

Nem hiszem, hogy az egyszerű kivonás ezt pontosan megadná, mert a fork előtti hibákból nem biztos, hogy minden átjött illetve azok egy részét már maguktól is javíthatták. A fork után pedig nem biztos, hogy ugyanazokat a hibákat vétették.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

És azt hittük, hogy az X volt bugos? Mondjuk ja, talán egy codecben kicsit nagyobb az állapottér.

--

2 év alatt az X-hez is simán lehet még 1000... :)

Kevesebb, mint 3 hónap alatt 104 patch született hozzá, ebből kb. 80 hibára jött ki advisory, de van még további 120 lejelentve, amire még nincs javítás.

Hát az a csákó, akinek múlkor linkelték az előadását, csak az X egy részét nézte még át, úgy talált 100+ bugot. Főleg Xlib oldalon indult el és az xcb-t nem is nézte. És többször előjött, hogy az opengl-t kezelő kód biztonsági szempontból tragikus. Szóval lesz még elég sok X bug szerintem, amíg eljön az ideje a Wayland-nek...

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

"amíg eljön az ideje a Wayland-nek..."

És akkor majd ott találnak 100+ bugot...

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

Wayland: 100 fájl (+ weston), 20 ezer sor (+weston: 70 ezer sor)
Mir: 430 fájl, 61 ezer sor

X server: olyan 500.000+ sor...

Ott a pont.

Nincs is még kész. :)

(Mir-nél gondolom a unit-test-ek is bekerültek a statisztikába...)

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

/troll on/
"Majd hozzátették, az NSA keretszerződésnek köszönhetően az FFmpeg is részesülhetett az állami támogatásból" :P
/troll off/

+1

Szóval ahhoz, hogy a manyeyeballs működjön az kell, hogy egy a sok-sok kis szorgos hangya helyett egy nagy cég kiadja ukázba az alkalmazottainak, hogy foglalkozzon a témával.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Nem akárkinek adták ki, j00ru egy elég ügyes haxor.

a google csak nem akarja, hogy a bug bounty projektjere a gatyaja is ramenjen, igy elöbb atnezeti hazon belül :)

Ez legalább működik. Nem csak a szájukat szellőztetik. :)

odass! úgy látszik mégse csak kirabolja az opensource-ot

Lehet úgy üzletet kötni hogy mindkét fél jól járjon. De ettől még éppúgy egy profitorientált óriáscég, amit szigorúan a gazdaságossági szempontok irányítanak. És talán egy picit a jogiak is, bár ebben nem vagyok biztos. Szóval szerintem nem fekete vagy fehér a helyzet, hanem térben és időben változó szürke :D

Ugyanez kell a fejlesztéshez is. Miért meglepő, hogy a biztonsági hibák felderítése ugyanúgy működik?

Ez akkor lenne igaz ha a google nélkül egyetlen hibát nem találtak volna benne a sokszemek.

kérdés: van-e olyan könyv / blog, ami gyűjti a tanulságokat az ilyen nagyívű hibajavításokból? érdekelne, hogy mit lehet ebből megelőzni, hogy lehet megoldani, hogy lehetőleg kevesebb hiba szülessen

(a linkelt haxor blog-ja megvan már)

static code analysis, unit testing, szigoru kodolasi szabalyok (tool altal ellenorizve)?

"kérdés: van-e olyan könyv / blog"

Könyv létezésében kételkednék, feltűnt volna. Szóval inkább blog.

---
Science for fun...