在过去五个月中,Google 的 OSS-Fuzz 计划已经在 47 个开源软件项目中发掘了超过 1000 个 bug 。
OSS-Fuzz 是 Google 在去年12月推出的一个开源安全计划,针对开源软件进行持续的模糊测试,利用更新的模糊测试技术与可拓展的分布式执行相结合,提高一般软件基础架构的安全性与稳定性。项目结合了多种模糊测试技术/漏洞捕捉技术(即原来的libfuzzer)与清洗技术(即原来的 AddressSanitizer),并且通过 ClusterFuzz 为大规模可分布式执行提供了测试环境。 到目前为止,OSS-Fuzz 已经发现了 264 个潜在的安全漏洞:Wireshark 中有7个,LibreOffice 有33个,SQLite3 有8个,FFmpeg 有17个…… Google 的工程师指出,“Fuzzing 不仅能发现内存安全相关的错误,还可以找到正确性或逻辑错误。”
编译自:helpnetsecurity |
