Con el anuncio de la quinta release candidate de Linux 4.14, Linus Torvalds ha hablado acerca d la importancia que está teniendo el fuzzing para conseguir un flujo constante de correcciones a nivel de seguridad.
De acuerdo a como lo explican en Wikipedia, el fuzzing es una técnica de pruebas de software dedicada a generar datos inválidos, inesperados o aleatorios con el fin de provocar errores, tanto de funcionamiento (como por ejemplo caídas del programa) como de seguridad (filtraciones de memoria). Muchas veces las pruebas están automatizadas o semiautomatizadas y suelen enfocarse en el área de la seguridad.
Según Linus Torvalds, los desarrolladores de Linux han utilizado programas de fuzzing desde las primeras versiones del kernel. Uno de esos programas es crashme, que fue lanzado en 1991 y 18 años después fue utilizado por Travis Ormandy, uno de los investigadores en seguridad más conocidos de Google, para probar la protección de un host cuando se procesan datos no confiables en una máquina virtual. Por otro lado, el creador de Linux ha comentado que “la gente ha estado haciendo buenas pruebas de fuzzing centrados en el subsistema de drivers y otros componentes, habiendo varias correcciones (no solo esta última semana) que salieron de esos esfuerzos.”
Torvalds nunca se ha caracterizado por morderse la lengua y ha reconocido que el desarrollo de Linux 4.14 ha sido más desordenado de lo que le hubiera gustado, aunque en los últimos tiempos parece que la cosa ha mejorado. Para esta ocasión se esperan correcciones para sistemas x86 y concretamente chips AMD, además de las típicas actualizaciones a nivel de drivers, componentes del kernel y herramientas, aunque lo más destacado es que será la primera versión en beneficiarse del soporte LTS de seis años.
