Компания «Базис» совместно с ИСП РАН и лабораторией «Фобос-НТ» провела этап тестирования компонентов с открытым исходным кодом, используемых в инструментах виртуализации. В результате был выявлен 191 дефект, включая уязвимости, которые успешно устранены.
Тестированию подверглись популярные компоненты, такие как nginx, ActiveMQ Artemis, Apache Directory, libvirt-exporter и QEMU, с акцентом на библиотеку libvirt. Эта библиотека имеет критическое значение для работы виртуальных машин и может быть уязвимой к утечкам данных. Использование высококачественных компонентов напрямую влияет на стабильность и безопасность как российских, так и зарубежных решений виртуализации.
В ходе работы применялись методы статического анализа, фаззинг-тестирования и функционального тестирования. Статический анализ выявил 178 дефектов, из которых 86 исправлений были интегрированы в официальные репозитории. Фаззинг обнаружил ещё 13 ошибок, в том числе переполнения буфера и неоптимальную обработку команд. Все исправления оперативно внедрены в проекты, такие как libvirt и Apache Directory.
Критические компоненты были дополнительно проверены с помощью новых фаззинг-тестов, созданных командой «Базис» и партнерами. Эти тесты стали основой для исследований, проведённых на мощностях лаборатории «Фобос-НТ», что повысило уровень безопасности экосистемы «Базис».
Технический директор компании Дмитрий Сорокин отметил, что такой подход не только улучшает качество продуктов, но и укрепляет доверие заказчиков, гарантируя безопасность решений. Работа проводилась на базе Центра исследований безопасности системного ПО, созданного ФСТЭК России, с привлечением студентов профильных вузов.
Источник: пресс-служба «Базис»