Conférence Black Hat 2007 : Mozilla partage ses outils d'analyse de code
Mozilla a développé une large gamme d'outils pour analyser la sécurité de son code dans le cadre de ses procédures internes de développement. Le fournisseur de navigateur Web en Open Source s'apprête à les partager avec les autres développeurs.
Lors de la conférence Black Hat 2007 (du 28 juillet au 02 août à Las Vegas), les dirigeants de Mozilla ont annoncé qu'ils allaient mettre à disposition l'un des utilitaires de vérification du code (un outil de fuzzing) qu'ils ont développé et exploitent en interne pour vérifier qu'il ne subsiste pas de faille de sécurité dans les logiciels qu'ils diffusent.
Window Snyder, la responsable de la sécurité du fournisseur de Firefox, navigateur Web à la popularité croissante, a expliqué que cet outil avait été conçu pour débusquer des failles dans le code JavaScript. Elle a précisé qu'il s'agissait du premier d'une série d'utilitaires que Mozilla prévoit de partager avec les autres développeurs.
Window Snyder et Mike Shaver, co-fondateur de Mozilla, ont déclaré qu'ils avaient pris cette décision afin d'encourager le recours à des pratiques de développement plus sécurisées dans l'univers des navigateurs et dans la communauté du logiciel au sens large. Ils estiment qu'ils peuvent ainsi procurer à leurs concurrents (au rang desquels figurent Microsoft, Opera et Apple) une aide significative pour rectifier leurs propres erreurs JavaScript. Selon Window Snyder, Mozilla a déjà reçu une réaction positive d'Opera qui a indiqué qu'il prévoyait de modifier l'outil pour l'adapter à ses propres besoins.
Mozilla compte livrer d'ici la fin de l'année deux autres utilitaires de « fuzzing » à utiliser avec les protocoles HTTP et FTP.