{"id":3163,"date":"2021-11-30T08:46:21","date_gmt":"2021-11-30T08:46:21","guid":{"rendered":"https:\/\/network-king.net\/google-clusterfuzzlite-soll-supply-chain-angriffe-eindaemmen\/"},"modified":"2022-03-23T08:58:02","modified_gmt":"2022-03-23T08:58:02","slug":"google-clusterfuzzlite-soll-supply-chain-angriffe-eindaemmen","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/google-clusterfuzzlite-soll-supply-chain-angriffe-eindaemmen\/","title":{"rendered":"Google: ClusterFuzzLite soll Supply-Chain-Angriffe eind\u00e4mmen"},"content":{"rendered":"\n

Haben Sie bemerkt, dass wir die Sicherheitskodierung heute immer ernster nehmen? Und wir haben einen Grund daf\u00fcr. Angriffe auf Software-Lieferketten wie bei Kaseya\u2019s VSA<\/a>, SolarWinds<\/a> und PHP<\/a> werden immer allt\u00e4glicher. Wenn sogar das National Institute of Standards and Technology<\/a> (NIST) und das Wei\u00dfe Haus eine Durchf\u00fchrungsverordnung<\/a> zur Verbesserung der nationalen Cybersicherheit erlassen haben, die mehr Code-Tests vorschreibt, dann wissen Sie, dass Cyberangriffe endlich ernst genommen werden.<\/p>\n\n\n\n

Um dies zu erleichtern, hat Google ein neues Projekt namens ClusterFuzzLite<\/a> ins Leben gerufen, das helfen soll, Schwachstellen in Software schneller zu erkennen. Nach Angaben des Unternehmens ist es mit nur wenigen Zeilen Code m\u00f6glich, ClusterFuzzLite in die Arbeitsabl\u00e4ufe von Entwicklern zu integrieren und Fehler zu erkennen. Dadurch wird die Sicherheit der Software-Produktionskette erh\u00f6ht. \u201eDas neue Tool kann als Teil von CI\/CD-Workflows ausgef\u00fchrt werden, um Schwachstellen schneller als je zuvor zu finden\u201c, schreiben die Software-Ingenieure Jonathan Metzman und Oliver Chang zusammen mit Googles CI\/CD-Produktleiter Michael Winser in einem Beitrag auf Googles Sicherheitsblog.<\/a><\/p>\n\n\n\n

ClusterFuzzLite ist eine abgespeckte Version des ClusterFuzz-Projekts, das 2016 angek\u00fcndigt wurde<\/a>. Beide basieren auf der 1989 an der University of Wisconsin Madison entwickelten Fuzz-Testing-Technik, die darauf abzielt, Implementierungsfehler auf automatisierte Weise mithilfe missgebildeter oder zuf\u00e4lliger Daten zu finden.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Fuzz-Tests eignen sich f\u00fcr Software, die nicht vertrauensw\u00fcrdige Dateneingaben erh\u00e4lt (Sicherheit), f\u00fcr die \u00dcberpr\u00fcfung der \u00c4quivalenz zweier komplexer Algorithmen (Korrektheit) und f\u00fcr die Kontrolle umfangreicher APIs, die komplexe Daten erhalten (Stabilit\u00e4t). Sie sind kein Ersatz f\u00fcr andere Arten von Tests und sollten kontinuierlich angewendet werden. <\/p>\n\n\n\n

ClusterFuzz<\/a> ist eine Open-Source-Fuzz-Infrastruktur, die kontinuierlich Tests durchf\u00fchren kann. Hochwirksame Open-Source-Projekte k\u00f6nnen in den OSS-Fuzz<\/a>-Dienst integriert werden, um f\u00fcr kostenlose Fuzz-Tests eingereicht zu werden. Zus\u00e4tzlich zur ClusterFuzz-Umgebung kombiniert OSS-Fuzz verschiedene Fuzz-Mechanismen mit Sanitizern. Seit seiner Ank\u00fcndigung im Jahr 2016 bis Juni 2021 wurden mehr als 500 kritische Open-Source-Projekte in OSS-Fuzz integriert, wodurch mehr als 6.500 Schwachstellen<\/a> und 21.000 funktionale Fehler<\/a> behoben wurden.<\/p>\n\n\n\n

ClusterFuzzLite, der kleine Bruder des k\u00fcrzlich angek\u00fcndigten ClusterFuzz, zeigt laut Google ebenfalls positive Ergebnisse bei gro\u00dfen Projekten. \u201eWenn menschliche Pr\u00fcfer den Code absegnen und Code-Analysatoren keine Probleme mehr erkennen k\u00f6nnen, bringt Fuzzing den Code auf eine neue Stufe der Reife und Robustheit. OSS-Fuzz und ClusterFuzzLite helfen uns dabei, cURL als Qualit\u00e4tsprojekt aufrechtzuerhalten, 24 Stunden am Tag, jeden Tag und vor jedem Engagement\u201c, betont Daniel Stenberg, Autor des cURL-Projekts. Er arbeitet mit einem Kommandozeilentool und einer Bibliothek, um Daten mit URL-Syntax zu \u00fcbertragen.<\/p>\n\n\n\n

Google erkl\u00e4rt, dass ClusterFuzzLite viele der Funktionen von ClusterFuzz bietet, zum Beispiel kontinuierliches Fuzzing, Kompatibilit\u00e4t mit Sanitizern und Abdeckungsberichte. Das Wichtigste an ClusterFuzzLite ist nach Ansicht von Google jedoch, dass es einfach zu konfigurieren ist und mit Closed-Source-Projekten funktioniert. Das macht es zu einer interessanten Option f\u00fcr jeden Entwickler, der Software testen m\u00f6chte.<\/p>\n\n\n\n

Angriffe auf die Lieferkette<\/h2>\n\n\n\n

Mit der Bereitstellung dieser Tools will Google letztlich dazu beitragen, Angriffe auf Lieferketten einzud\u00e4mmen, die in letzter Zeit verschiedene Branchen terrorisiert haben. Diese Art des Eindringens greift ein verwundbares Glied in der Kette an, zum Beispiel ein Unternehmen, das Software oder Dienstleistungen f\u00fcr viele andere bereitstellt. Dadurch wird der Weg f\u00fcr Tausende neuer Ziele geebnet.<\/p>\n\n\n\n

Einer der gr\u00f6\u00dften und verheerendsten Vorf\u00e4lle dieser Art im letzten Jahr betraf das IT-Unternehmen SolarWinds. Dabei wurden dessen Systemaktualisierungen, die an Tausende von Kunden geschickt wurden \u2013 darunter gro\u00dfe Unternehmen der Privatwirtschaft und US-Beh\u00f6rden \u2013 kompromittiert. Bei einem anderen gro\u00dfen Angriff wurde eine Sicherheitsl\u00fccke in der Kaseya-Software ausgenutzt, von der Kunden in aller Welt betroffen waren.<\/p>\n\n\n\n

Insbesondere Entwicklungsumgebungen k\u00f6nnen hervorragende Ziele f\u00fcr Cyberkriminelle sein, die Angriffe auf die Lieferkette als Methode nutzen. Angesichts dieser gro\u00dfen Vorf\u00e4lle im Bereich der Cybersicherheit hat beispielsweise das National Cyber Security Center (NCSC)<\/a> des Vereinigten K\u00f6nigreichs eine Warnung herausgegeben und darauf hingewiesen, dass Angriffe auf die Softwareentwicklungspipeline weitreichende Auswirkungen haben k\u00f6nnen.<\/p>\n\n\n\n

Deshalb, so Google<\/a>, sollten Tools wie ClusterFuzzLite einen weiteren wichtigen Schritt darstellen, den Entwickler kontinuierlich bei allen Softwareprojekten anwenden sollten. Auf diese Weise kann durch effizienteres Auffinden und Verhindern von Fehlern ein sichereres Software-\u00d6kosystem aufgebaut werden.<\/p>\n","protected":false},"excerpt":{"rendered":"

Haben Sie bemerkt, dass wir die Sicherheitskodierung heute immer ernster nehmen? Und wir haben einen Grund daf\u00fcr. Angriffe auf Software-Lieferketten wie bei Kaseya\u2019s VSA, SolarWinds und PHP werden immer allt\u00e4glicher. Wenn sogar das National Institute of Standards and Technology (NIST) und das Wei\u00dfe Haus eine Durchf\u00fchrungsverordnung zur Verbesserung der nationalen Cybersicherheit erlassen haben, die mehr…<\/p>\n","protected":false},"featured_media":3115,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[70],"tags":[],"company":[],"topic":[],"class_list":["post-3163","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-network"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/3163","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=3163"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/3115"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=3163"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=3163"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=3163"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=3163"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=3163"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=3163"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}