Több mint 1000 hibát javított az FFmpeg projekt a Google szakembereinek köszönhetően

Bug

A Google biztonsági szakemberei, köszönhetően az adatközpontjaikban rendelkezésükre álló komoly számítási teljesítménynek, kiterjedt automatikus tesztek (fuzzing) alá vethetik az általuk fontosnak vélt programokat, projekteket. Az egyik ilyen belső projektjük az FFmpeg tesztelése volt. A FFmpeg-et számos alkalmazás - Google Chrome, MPlayer, VLC, xine stb. - használja, ezért fontos a biztonsága.

Több mint két évnyi munka után az FFmpeg projekt több mint 1000 olyan hibát javíthatott ki, amelyet a Google mérnökei fedeztek fel. Ezek közt biztonsági hibák is találhatók. Ezzel párhuzamosan a Libav projekt - FFmpeg fork - is javított több mint 400 hibát.

Részletek a Google Online Security Blog bejegyzésében.

( Ritter | 2014. 01. 11., szo – 21:49 )

Akkor a libav projektben maradt közel 600 hiba. :-)

Nem hiszem, hogy az egyszerű kivonás ezt pontosan megadná, mert a fork előtti hibákból nem biztos, hogy minden átjött illetve azok egy részét már maguktól is javíthatták. A fork után pedig nem biztos, hogy ugyanazokat a hibákat vétették.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

( joco01 v | 2014. 01. 11., szo – 21:56 )

És azt hittük, hogy az X volt bugos? Mondjuk ja, talán egy codecben kicsit nagyobb az állapottér.

--

Hát az a csákó, akinek múlkor linkelték az előadását, csak az X egy részét nézte még át, úgy talált 100+ bugot. Főleg Xlib oldalon indult el és az xcb-t nem is nézte. És többször előjött, hogy az opengl-t kezelő kód biztonsági szempontból tragikus. Szóval lesz még elég sok X bug szerintem, amíg eljön az ideje a Wayland-nek...

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

( Dacr (nem ellenőrzött) | 2014. 01. 11., szo – 22:52 )

/troll on/
"Majd hozzátették, az NSA keretszerződésnek köszönhetően az FFmpeg is részesülhetett az állami támogatásból" :P
/troll off/

( saxus | 2014. 01. 11., szo – 22:58 )

Szóval ahhoz, hogy a manyeyeballs működjön az kell, hogy egy a sok-sok kis szorgos hangya helyett egy nagy cég kiadja ukázba az alkalmazottainak, hogy foglalkozzon a témával.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Lehet úgy üzletet kötni hogy mindkét fél jól járjon. De ettől még éppúgy egy profitorientált óriáscég, amit szigorúan a gazdaságossági szempontok irányítanak. És talán egy picit a jogiak is, bár ebben nem vagyok biztos. Szóval szerintem nem fekete vagy fehér a helyzet, hanem térben és időben változó szürke :D

( cherockee v | 2014. 01. 12., v – 11:05 )

kérdés: van-e olyan könyv / blog, ami gyűjti a tanulságokat az ilyen nagyívű hibajavításokból? érdekelne, hogy mit lehet ebből megelőzni, hogy lehet megoldani, hogy lehetőleg kevesebb hiba szülessen

(a linkelt haxor blog-ja megvan már)