La seguridad en el software de código abierto ha sido objeto de atención tras revelarse que varios proyectos populares, auditados recientemente, contenían vulnerabilidades significativas a pesar de estar inscritos en el programa OSS-Fuzz. Este programa, una de las iniciativas de seguridad más relevantes en el ámbito del código abierto, ha identificado miles de vulnerabilidades desde su creación. Sin embargo, el descubrimiento de nuevas fallas en proyectos como GStreamer, Poppler y Exiv2 ha puesto de manifiesto las limitaciones del fuzzing como método único para garantizar la seguridad del software.

GStreamer, conocido por ser el marco multimedia predeterminado para GNOME, presentó 29 nuevas vulnerabilidades, muchas de ellas de alto riesgo, a pesar de haber estado sometido al proceso de fuzzing durante siete años. Su baja cobertura de código, con solo dos generadores de fuzzing activos, contrasta fuertemente con proyectos como OpenSSL, que tiene 139 generadores y una cobertura mucho más amplia. Este caso resalta la necesidad de supervisión humana para mejorar la cobertura y actualizar los generadores.

La biblioteca Poppler, utilizada para el análisis de PDFs en Ubuntu, también mostró fallas a pesar de contar con un 60% de cobertura de código y 16 generadores de fuzz. Su vulnerabilidad crítica descubierta recientemente permitió la ejecución remota de código, resaltando la importancia de incluir las dependencias externas en el proceso de fuzzing.

Por otro lado, Exiv2, utilizado para gestionar metadatos en imágenes, mostró nuevas vulnerabilidades después de más de tres años en OSS-Fuzz. Este patrón común en el fuzzing de formatos de medios, donde se presta más atención a la decodificación que a la codificación, permitió que algunas vulnerabilidades permanecieran ocultas por años.

Estos ejemplos demuestran que el fuzzing, aunque útil, no es infalible. Para mejorar su efectividad, es crucial prestar atención a la cobertura de código, las dependencias externas y complementar el fuzzing con otras metodologías de seguridad, como el análisis estático y la revisión manual. La combinación de estos enfoques puede ofrecer una protección más robusta y afrontar las amenazas emergentes de manera más eficaz.