Google 透過 GitHub 釋出鎖定開放源碼軟體的模糊測試專案 OSS-Fuzz,以協助開發人員尋找軟體中的錯誤之處,OSS-Fuzz 目前為測試版,暫時只支援 C 與 C++ 語言。 模糊測試(fuzz testing)為一軟體測試技術,於軟體中輸入無效或隨機資料來快速及全面監控程式的反應,經常被用來檢測軟體或電腦系統的安全漏洞。 Google 表示,開放源碼軟體是許多程式、網站或服務的骨幹,因此其穩定性、安全與可靠性相對重要,不管是當機或是漏洞都會影響基於該骨幹的所有服務。此外,最近的安全事件顯示,重要的開放源碼軟體中若存在緩衝區溢位或釋放後使用等漏洞,就可能造成嚴重後果,而且就算是富有經驗的開發人員,也很難藉由例行性的程式碼稽核發現錯誤,模糊測試因此應運而生。 OSS-Fuzz 即是結合了現代的各種模糊測試技術及可延展的分散式執行來讓通用的軟體架構更安全也更穩定,初期它採用了 libFuzzer 模糊引擎與 AddressSanitizer 消毒劑,以及基於 ClusterFuzz 的分散式執行環境。 OSS-Fuzz 會自動通知維護程式的開發人員,並自動進行修補確認,且皆於同一天完成,至今已在各種開放源碼專案中找到 150 個臭蟲。目前已找到的 150 個臭蟲己列於此列表。 Google 釋出 OSS-Fuzz 的重點之一還希望推動模糊測試成為開放源碼開發的標準程序之一,以確保重要開放源碼專案的安全性。 |
首頁|手機版|Chip123 科技應用創新平台 |新契機國際商機整合股份有限公司
GMT+8, 2024-10-31 02:43 AM , Processed in 0.125008 second(s), 16 queries .
Powered by Discuz! X3.2
© 2001-2013 Comsenz Inc.