有没有听说过“模糊测试”?在软件工程中,这个术语指的是一种错误(bug)检测技术,通过向目标程序提供“意外”或超出范围的输入来检测潜在的bug,尤其是内存崩溃错误和代码断言(code assertion)。这些bug对于人工检测来说,通常需要敏锐的眼光和大量的人力 -以及无休止的代码审查工作。
谷歌的解决方案是将模糊测试工作交给软件,例如ClusterFuzz。这是一个名副其实的基础架构,运行在超过25,000个处理器核心上,不断(并自主)探测Chrome的代码库中的漏洞。两年前,Google开始通过 OSS-Fuzz 提供ClusterFuzz作为开源项目的免费服务,今天,Google宣布将ClusterFuzz在 GitHub 上开源。 Google表示,ClusterFuzz的开源实现需要一些Google Cloud Platform服务,但与任何计算群集兼容。
在 博客文章 中, ClusterFuzz团队成员Abhishek Arya,Oliver Chang,Max Moroz,Martin Barbella和Jonathan Metzman写道:“我们开发ClusterFuzz超过八年,以便无缝地融入开发人员的工作流程,使其易于查找错误并将其修复。 ClusterFuzz可实现端到端的自动化,从错误检测到分类(准确的删除重复数据,二分法),到错误报告,最后到错误报告的自动关闭。”
谷歌表示,到目前为止模糊测试工具ClusterFuzz已经帮助发现了超过16,000个Chrome项目中的错误以及与OSS-Fuzz集成的160多个开源项目中的11,000多个错误。“ClusterFuzz是Chrome和许多其他开源项目开发过程中不可或缺的一部分,”该团队写道。“ClusterFuzz通常能够在启用后的几个小时内开始检测出错误,并在一天内验证修复。”
ClusterFuzz远非唯一的自动化模糊测试解决方案。2018年8月,谷歌收购了 GraphicsFuzz 一家专门研究移动图形基准测试 工具 的公司,其中一些工具用于发现三星Galaxy S6和S9等手机中的漏洞(数量不详)。微软两年前推出了 Project Springfield ,一个基于云的模糊测试服务,用于查找软件中的关键安全bug。有兴趣的读者还可以在这里找到 更多 模糊测试工具。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 开源单元测试工具汇总
- 谷歌开源模糊测试工具 ClusterFuzz 尝鲜记录
- 基于DNS的数据泄露开源测试工具篇(三)
- 基于DNS的数据泄露开源测试工具篇(四)
- 研究人员发明智能灰盒模糊测试工具 有可能开源
- 开源兼容性测试小工具:WebRTC Troubleshooting
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
