写点什么

Google 推出测试版开源安全工具

  • 2016-12-13
  • 本文字数:758 字

    阅读完需:约 2 分钟

Google 希望进行“模糊测试(fuzz testing,fuzzing)”,为程序提供随机数据输入,作为开源开发的标准部分。

为此,它刚刚在 GitHub 上推出了一个用于 OSS-Fuzz 的测试计划的项目,其目的在于推动现代模糊技术标准化,并将它们与可以根据需要扩展的分布式执行模型相结合,以确保重要开源项目的安全性。

根据维基百科的解释:“模糊测试是一种软件测试技术,通常是自动或半自动的,涉及向计算机程序的输入提供无效、意外或随机数据。然后,监视程序是否有异常,例如崩溃、内置代码断言失败或查找潜在的内存泄漏。”

Google 表示,这种技术可以用来确保流行的开源组件(特别是被认为是全球 IT 基础设施的关键部分)是稳定、安全和可靠的。

“最近的安全故事证实,缓冲区溢出释放后使用的错误会在关键的开源软件中导致严重的后果”,该公司在最近的一篇博客中说。“这些错误不仅严重,而且通过常规代码审计很难发现,即使对于有经验的开发人员也是如此。这就让模糊测试应运而生。通过生成给定程序的随机输入,模糊触发并帮助快速彻底地发现错误。”

OSS-Fuzz 将利用 ClusterFuzz 项目在可扩展的分布式执行环境中将不同的模糊引擎(从 libFuzzer 开始)和其他组件组合在一起。

该公司表示,该项目迄今已在流行的开源项目中发现了 150 个错误

目前,OSS-Fuzz 只对有大量用户群或者对全球 IT 基础架构至关重要的开源软件提供服务。这暗示着,尽管没有直截了当地说明,这一切仍会变化。“通过你的帮助,我们可以将模糊测试作为开源发展中的一个标准规范,并和广大开发者、安全测试人员一道,确保那些重要开源应用、库以及 API 中的程序错误都能被发现和修复。”


感谢丁晓昀对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2016-12-13 18:003092
用户头像

发布了 360 篇内容, 共 155.1 次阅读, 收获喜欢 924 次。

关注

评论

发布
暂无评论
发现更多内容

高德 Serverless 平台建设及实践

阿里巴巴云原生

Serverless 运维 云原生 监控 中间件

使用docker compose快速部署前后端分离项目案例

皮特王

nginx Docker Vue Docker-compose

恍然大悟丨Java 中 RMI 的使用

Java架构师迁哥

jmeter命令行执行测试并对测试报表进行初步分析

行者AI

测试 Jmeter

腾讯云大神亲码“redis深度笔记”,从基础到源码,应有尽有

Java 编程 程序员 架构

开发者必看,面试官心中的最佳数据库人才模型是什么样?

华为云开发者联盟

面试 开发者 华为云数据库 数据库人才

耗时1年的前端技术框架切换之旅

华为云开发者联盟

大前端 软件工程 React 框架

自动发布.NET Core Web应用

DisonTangor

DevOps 运维自动化 jenkins dotnet

技术实践丨如何解决异步接口请求快慢不均导致的数据错误问题?

华为云开发者联盟

JavaScript typescript 大前端 浏览器 angular

精选Hive高频面试题11道,附答案详细解析

五分钟学大数据

大数据 hive 5月日更

工商银行分布式服务 C10K 场景解决方案

阿里巴巴云原生

容器 微服务 云原生 监控 应用服务中间件

大数据实战:网站流量日志数据分析

大数据技术指南

大数据 5月日更

五一假期回乡,跟大家聊聊感触

架构精进之路

心情 杂记 5月日更

HarmonyOS开发者创新大赛预选赛结束,23支队伍脱颖而出闯入决赛

Geek_283163

鸿蒙

阿里云入选 2021 Gartner APM 魔力象限,国内唯一入选云厂商

阿里巴巴云原生

阿里云 容器 微服务 运维 云原生

技术干货|7个 React 性能提升技巧

拍乐云Pano

React

Python OOP-5

若尘

oop Python编程 5月日更

只会重装系统的运维,不是好运维

运维研习社

Linux 5月日更 系统修复

架构实战营-详细架构设计文档

Simon

架构实战营

【LeetCode】解码异或后的排列Java题解

Albert

算法 LeetCode 5月日更

打破思维定式(六)

Changing Lin

5月日更

腾讯T6大牛体系化带你学习Java面向对象,网友:这详解,太清晰了

牛哄哄的java大师

Java 面向对象 面向对象编程

七面阿里险幸上岸,入职就是40*16K。网友:Java 面经交出来

Java 程序员 架构 面试 计算机

详解百度富媒体检索比对系统的关键技术

百度Geek说

大数据 后端 检索 #富媒体#

SICP 习题2.6之丘奇数

程序员历小冰

函数式编程 SICP 5月日更

华为云PB级数据库GaussDB(for Redis)揭秘第九期:与HBase的对比

华为云开发者联盟

HBase 华为云 开源数据库 NoSQL数据库 数据库GaussDB(for Redis)

一个朋友学会Java泛型后直接薪资翻倍!

北游学Java

Java 泛型

百度大脑UNIT拍了拍你,提醒你报名智能对话训练营

百度大脑

物联网 智能对话

自己动手丰衣足食——自定义下拉框vue组件

空城机

vue.js 大前端 vue cli 5月日更 编写组件

Google推出测试版开源安全工具_安全_刘志勇_InfoQ精选文章