Google推出测试版开源安全工具

   <p style="text-align: center;"><a href="/misc/goto?guid=4958984127719761301" title="Google"><img alt="Google推出测试版开源安全工具" src="https://simg.open-open.com/show/1398f098be05592a1001a5275df0b684.png" /></a></p>    <p>Google 希望进行“模糊测试（fuzz testing，fuzzing）”，为程序提供随机数据输入，作为开源开发的标准部分。</p>    <p>为此，它刚刚在 GitHub 上推出了一个用于 <a href="/misc/goto?guid=4958996498831156518">OSS-Fuzz</a> 的测试计划的项目，其目的在于推动现代模糊技术标准化，并将它们与可以根据需要扩展的分布式执行模型相结合，以确保重要开源项目的安全性。</p>    <p>根据<a href="/misc/goto?guid=4958996498929409633">维基百科</a>的解释：“模糊测试是一种软件测试技术，通常是自动或半自动的，涉及向计算机程序的输入提供无效、意外或随机数据。然后，监视程序是否有异常，例如崩溃、内置代码断言失败或查找潜在的内存泄漏。”</p>    <p>Google 表示，这种技术可以用来确保流行的开源组件（特别是被认为是全球 IT 基础设施的关键部分）是稳定、安全和可靠的。</p>    <p>“最近的安全故事证实，<a href="/misc/goto?guid=4958996499022698092">缓冲区溢出</a>和<a href="/misc/goto?guid=4958996499116933027">释放后使用</a>的错误会在关键的开源软件中导致严重的后果”，该公司在最近的一篇<a href="/misc/goto?guid=4958996499201573456">博客</a>中说。“这些错误不仅严重，而且通过常规代码审计很难发现，即使对于有经验的开发人员也是如此。这就让模糊测试应运而生。通过生成给定程序的随机输入，模糊触发并帮助快速彻底地发现错误。”</p>    <p style="text-align:center"><img alt="Google推出测试版开源安全工具" src="https://simg.open-open.com/show/0b7926cb47df7082524290f5ad16aa0a.png" /></p>    <p>OSS-Fuzz 将利用 <a href="/misc/goto?guid=4958996499293665422">ClusterFuzz</a> 项目在可扩展的分布式执行环境中将不同的模糊引擎（从 <a href="/misc/goto?guid=4958996499373339097">libFuzzer</a> 开始）和其他组件组合在一起。</p>    <p>该公司表示，该项目迄今已在流行的开源项目中发现了<a href="https://bugs.chromium.org/p/oss-fuzz/issues/list?can=1&q=-component%3aInfra%20-status%3aDuplicate,WontFix&sort=-id&colspec=ID%20Type%20Component%20Status%20Library%20Reported%20Owner%20Summary&cells=ids">150 个错误</a>。</p>    <p>目前，OSS-Fuzz 只对有大量用户群或者对全球 IT 基础架构至关重要的开源软件提供服务。这暗示着，尽管没有直截了当地说明，这一切仍会变化。“通过你的帮助，我们可以将模糊测试作为开源发展中的一个标准规范，并和广大开发者、安全测试人员一道，确保那些重要开源应用、库以及 API 中的程序错误都能被发现和修复。”</p>    <p>来自: <a href="/misc/goto?guid=4958996499573751526" id="link_source2">InfoQ</a></p>