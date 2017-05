Software::Büro

LibreOffice nutzt OSS-Fuzz zur Qualitätssteigerung

LibreOffice hat mit Hilfe des von Google und der Linux Foundation betriebenen OSS-Fuzz bereits 33 Fehler behoben, bevor sie in eine veröffentlichte Version gelangen konnten.

LibreOffice LibreOffice: Ergebnisse des Coverity-Scans vom 15.5.2017

Seit fünf Monaten nutzt die Document Foundation laut einer aktuellen Mitteilung OSS-Fuzz, um Fehler in LibreOffice zu finden und zu beheben. OSS-Fuzz, ein von Google im Dezember 2016 vorgestelltes Projekt , wurde in den letzten Jahren zusammen mit der Core Infrastructure Initiative der Linux Foundation entwickelt. Es unterzieht eine ausgewählte Menge von freier Software einem kontinuierlichen Fuzzing.

Fuzzing oder Fuzz Testing wird immer populärer unter Entwicklern. Fuzzer konfrontieren Programme mit Eingaben, auf die sie möglicherweise nicht vorbereitet sind, worauf sie fehlerhaft oder mit einem Absturz reagieren. Inzwischen existieren mehrere Fuzzer, die teils allgemein anwendbar, teils auf bestimmte Projekte, beispielsweise den Linux-Kernel, spezialisiert sind. Wichtig ist dabei, dass die Fuzzer nicht jede beliebige Eingabe produzieren, da dies viel zu viele Durchläufe ohne neue Erkenntnisse ergeben würde, sondern sich auf die entscheidenden Fälle konzentrieren. So ist zum Beispiel American Fuzzy Lop (AFL) mit einem durch Instrumentation gesteuerten genetischen Algorithmus gekoppelt. AFL läuft, einmal mit relativ generischen Daten gestartet, autonom und entwickelt dabei die Eingaben selbständig weiter. Eine Alternative ist die im LLVM-Projekt entstandene libFuzzer. Die Bibliothek kann zu dem zu testenden Programm gelinkt werden und generiert ihre Testeingaben mit Hilfe der Instrumentation der Sanitizer Coverage von Clang. Besonders effektiv wird das Fuzzing in Kombination mit dem AddressSanitizer.

Nachdem OSS-Fuzz in den ersten fünf Monaten seines Bestehens bereits rund 1000 Fehler in 47 Projekten entdeckt hat, nimmt nun auch die Document Foundation mit LibreOffice als erster freier Büro-Suite an dem Projekt teil. OSS-Fuzz wurde maßgeblich von Red Hat in die Sicherheitsprozesse von LibreOffice eingebunden. Der Code von LibreOffice wurde entsprechend instrumentiert und die Ergebnisse der Fuzzing-Läufe werden regelmäßig ausgewertet und erkannte Probleme behoben. Dies führte bisher zu 33 behobenen Problemen.

Bereits seit längerer Zeit nimmt LibreOffice auch am Coverity-Scan-Projekt teil, das eine statische Codeanalyse ausführt. Die Verbesserungen durch OSS-Fuzz lassen sich nun an den Ergebnissen der Coverity-Läufe ablesen, die eine stark gesunkene Defekt-Rate zeigen. Demnach gehört LibreOffice zu den fehlerfreiesten Programmen auf dem Markt mit lediglich 0,01 erkannten Fehlern pro 1000 Codezeilen. Die letzte Analyse datiert vom 15. Mai und erfasste über 6,3 Mio. Zeilen. Auch wenn die automatisierten Analysen nur einen Bruchteil der möglichen Laufzeitfehler erkennen können, erhöhen sie doch die Sicherheit und Stabilität der freien Büro-Suite erheblich.