A pesar de un exhaustivo proceso de fuzzing durante años, algunas vulnerabilidades persisten en proyectos de código abierto. OSS-Fuzz, en colaboración con la Fundación OpenSSF, ha identificado miles de fallos desde su lanzamiento. Con más de 1,300 proyectos analizados sin costo para los desarrolladores, se ha convertido en una herramienta esencial. Sin embargo, incluso proyectos maduros en el programa revelan vulnerabilidades críticas tras años de uso.
Recientes auditorías a proyectos populares han desenterrado vulnerabilidades significativas. GStreamer, componente central del entorno GNOME, mostró 29 fallos nuevos, muchos de alto riesgo, a pesar de siete años bajo OSS-Fuzz. Con solo dos generadores de fuzzing activos y 19% de cobertura de código, contrasta con OpenSSL, que tiene 139 generadores y una cobertura mucho mayor.
Esta diferencia resalta la necesidad de supervisión humana para manejar la cobertura y desarrollar nuevos fuzzers. Existe una percepción errónea entre desarrolladores sobre la seguridad que el OSS-Fuzz garantiza. Muchos desconocen que siguen siendo necesarios enfoques de seguridad adicionales.
Poppler, biblioteca para analizar PDFs en Ubuntu, reveló una vulnerabilidad crítica de ejecución remota de código, con 16 generadores de fuzz y 60% de cobertura de código. Este caso subraya la importancia de incluir dependencias externas en el proceso de fuzzing.
Exiv2, otra herramienta analizada, permite manipular metadatos en imágenes. Tres años en OSS-Fuzz no fueron suficientes para evitar reportes de nuevas vulnerabilidades. La atención a la decodificación frente a la codificación puede dejar puertas abiertas a fallos ocultos.
Estos casos comprueban que el fuzzing, aunque eficaz, no es infalible. La cobertura de código, atención a dependencias externas y revisiones manuales son esenciales para mejorar su eficacia. Los investigadores sugieren combinarlo con análisis estático y revisión manual para proteger el software ante amenazas emergentes.
