Google 推出测试版开源安全工具 OSS-Fuzz-阿里云开发者社区

开发者社区> 行者武松> 正文

Google 推出测试版开源安全工具 OSS-Fuzz

简介:
+关注继续查看

Google希望进行“模糊测试(fuzz testing,fuzzing)”,为程序提供随机数据输入,作为开源开发的标准部分。

为此,它刚刚在GitHub上推出了一个用于 OSS-Fuzz 的测试计划的项目,其目的在于推动现代模糊技术标准化,并将它们与可以根据需要扩展的分布式执行模型相结合,以确保重要开源项目的安全性。

根据 维基百科 的解释:“模糊测试是一种软件测试技术,通常是自动或半自动的,涉及向计算机程序的输入提供无效、意外或随机数据。然后,监视程序是否有异常,例如崩溃、内置代码断言失败或查找潜在的内存泄漏。”

Google表示,这种技术可以用来确保流行的开源组件(特别是被认为是全球IT基础设施的关键部分)是稳定、安全和可靠的。

“最近的安全故事证实, 缓冲区溢出 和 释放后使用 的错误会在关键的开源软件中导致严重的后果”,该公司在最近的一篇 博客 中说。“这些错误不仅严重,而且通过常规代码审计很难发现,即使对于有经验的开发人员也是如此。这就让模糊测试应运而生。通过生成给定程序的随机输入,模糊触发并帮助快速彻底地发现错误。”

image

OSS-Fuzz将利用 ClusterFuzz 项目在可扩展的分布式执行环境中将不同的模糊引擎(从 libFuzzer 开始)和其他组件组合在一起。

该公司表示,该项目迄今已在流行的开源项目中发现了 150个错误 。

目前,OSS-Fuzz只对有大量用户群或者对全球IT基础架构至关重要的开源软件提供服务。这暗示着,尽管没有直截了当地说明,这一切仍会变化。“通过你的帮助,我们可以将模糊测试作为开源发展中的一个标准规范,并和广大开发者、安全测试人员一道,确保那些重要开源应用、库以及API中的程序错误都能被发现和修复。”

文章转载自 开源中国社区[https://www.oschina.net]

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
OSS常用工具汇总
总结了12款OSS常用工具,熟悉这些工具您可以更高效的使用OSS。
9531 0
MySQL 基础---数据库安全性机制
MySQL软件所提供的权限(mysql.user、mysql.db、mysql.host) (1) 系统表mysql.user user权限表中字段分为四类: 用户字段、权限字段、安全字段和资源控制字段。
874 0
intellij idea搭建ssh开发框架之绑定数据源
原文: intellij idea搭建ssh开发框架之绑定数据源 在intellij idea中绑定数据源并生成hibernate实体对象。
1231 0
Animo.js :一款管理 CSS 动画的强大的小工具
  Animo.js 是一个功能强大的小工具,用于管理 CSS 动画。它的特色功能包括像堆栈动画,创建跨浏览器的模糊,设置动画完成的回调等等。Animo 还包括惊人的 animate.css,为您提供了近60个美丽的动画,还加入了一些辅助动画到库中。
876 0
推荐14款非常有用的 CSS 网格系统生成工具
今天这篇文章向大家推荐14款非常有用的 CSS 网格系统生成工具,它们能够帮助你构建适合你网站项目的 CSS 网格系统。一个系统化、结构合理的布局使得能够更快更轻松的组织网站的内容。网格系统为网页设计师们提供了一种快速构造网页内容布局的方法,帮助设计师们节省了大量的时间和精力。
522 0
常用开源框架中设计模式使用分析
说起来设计模式,大家应该都耳熟能详,设计模式代表了软件设计的最佳实践,是经过不断总结提炼出来的代码设计经验的分类总结,这些模式或者可以简化代码,或者可以是代码逻辑开起来清晰,或者对功能扩展很方便...。
8619 0
+关注
行者武松
杀人者,打虎武松也。
14545
文章
2569
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载