谷歌又一開源利器Atheris,Python代碼安全掃描工具

2020-12-11 IT點滴

近日谷歌開源了一款Python代碼安全漏洞掃描工具Atheris,希望開發者在漏洞被利用之前能夠用它來發現安全漏洞並修補漏洞。

python

Atheris介紹

Atheris目前基於Apache-2.0 License開源在github上,Atheris是一個典型的漏洞檢查工具,它支持 Python 代碼的安全掃描,也支持為 CPython 編寫的本機擴展。當檢查本地代碼時,通過為軟體應用程式提供大量隨機數據並分析其輸出異常和崩潰,為開發人員提供了有關應用程式代碼中可能的BUG的存在進行提示。

安裝使用

Atheris支持Linux(32 位和 64 位)和 Mac OS X。Atheris 依賴於與 Clang 一起分發的 libFuzzer。如果您的路徑上有足夠新版本的版本,則安裝非常簡單:clang

pip install atheris

使用示例:

import atherisimport sysdef TestOneInput(data):if data == b"bad":raise RuntimeError("Badness!")atheris.Setup(sys.argv, TestOneInput)atheris.Fuzz()

Atheris在Python3.8及以後的代碼中效果最好,在Python程式語言中添加的新功能可以幫助Atheris 發現比在較舊版本ython代碼中編寫的代碼更多的錯誤

展望未來,谷歌表示,它還計劃增加對OSS-Fuzz的Atheris漏洞掃描的支持,OSS-Fuzz是一個託管平臺,允許開發者掃描開源項目的安全缺陷。以前,這個平臺只支持C和C++,並且非常成功用於查找數千個bug每年。截至 2020 年 6 月,OSS-Fuzz 在 300 個開源項目中發現了超過 20,000 個 Bug。

相關焦點

  • 谷歌開源 Python Fire;一張圖讀懂 Python、R 的大數據應用等 | AI...
    昨晚谷歌公布了新的 Python 工具包——Python Fire。它的功能很簡單:能從任何 Python 代碼生成命令行接口(CLI)。Python Fire 已開源,用戶可通過`pip install fire`在 PyPI 進行下載,也可以去 GitHub 查看它的原始碼。
  • Google 開源漏洞掃描系統 Tsunami
    谷歌已宣布將其內部使用的 Tsunami 漏洞掃描程序進行開源,以幫助其他組織保護用戶數據。Tsunami 將不會成為谷歌的正式品牌產品,而是由開源社區以類似於管理 Kubernetes(另一種穀歌內部工具)的方式來維護。
  • 谷歌發布開源工具DOM Snitch 識別危險軟體
    谷歌發布開源工具DOM Snitch 識別危險軟體 騰訊科技訊(觀海)北京時間6月22日消息,據國外媒體報導,谷歌今天發布了開源工具DOM Snitch,以試圖對在瀏覽器中運行中的危險軟體進行標記
  • 11個代碼質量審核和管理工具,程式設計師收藏
    11個代碼質量審核和管理工具,程式設計師收藏 如今,代碼質量分析和審核已成為每個企業的基本流程。隨著開原始碼庫使用的增加,安全性和代碼質量對於構建高質量軟體至關重要。不良的代碼不僅會影響代碼的可維護性,而且還會在某些情況下影響其性能。
  • 不可不知的10款開源雲安全工具!
    AWS、微軟和谷歌等雲供應商提供一整套原生安全工具。這些工具固然有用,但並不適合所有人。隨著雲計算深入發展,IT團隊常常發現安全地開發和管理這些平臺上的工作負載的能力存在不足。最終,填補這些不足是用戶的責任。這時候,開源雲安全工具常常派得上用場。
  • GitHub 上的十一款熱門開源安全工具 - OSCHINA - 中文開源技術...
    作為廣為人知的Linus定律,當討論開源模式在安全方面的優勢時,開放代碼能夠提高項目漏洞檢測效率的理論也被IT專業人士們所普遍接受。惡意軟體分析、滲透測試、計算機取證——GitHub託管著一系列引人注目的安全工具、足以應對各類規模下計算環境的實際需求。
  • 微軟攜手谷歌等創立開源安全基金會
    微軟宣布將和谷歌、GitHub、IBM、JPMC、NCC集團、OWASP基金會和Red Hat 一起創立開源安全基金會(OpenSSF)。這是一個跨行業的合作項目,由Linux基金會主持,目的是通過創建更廣泛的社區、採取針對性舉措和打造最佳實踐來提高開源軟體的安全性。
  • 十大開源Web應用安全測試工具
    關於開源工具,除了免費之外,最大的優點是可以自定義它們,以符合您的特定要求。以下,是我們推薦的十大開源安全測試列表:Arachni面向滲透測試人員和管理員的旨在識別Web應用程式中的安全問題。-Iron Wasp是一種開放原始碼,功能強大的掃描工具,能夠發現25種以上的Web應用程式漏洞。
  • iOS代碼掃描從放棄到入門
    某日的一天,iOS老哥找我說讓看看能不能弄弄iOS代碼掃描,掃描出一些代碼漏洞,嘗試去修復漏洞和bug.於是乎,下面就是我記錄一下折騰了幾天完成的iOS代碼掃描初探的過程.工具選擇從去年開始,就一直研究iOS代碼掃描.無奈乎,iOS在代碼掃描這個領域能選的工具,其實不算太多.
  • SAP 開源 SCA 工具,掃描軟體包依賴漏洞
    全球最大 ERP 供應商 SAP 近日宣布開源軟體組合分析(SCA)工具 vulnerability-assessment-tool。
  • 谷歌開源 Scorecards,為開源項目安全性「打分」
    然而大部分開發者或組織在使用新的開源項目依賴時,沒有評估過對生產環境安全性的影響,當然也可能是無法評估,因為沒有任何能反映該項目安全性的數據和信息。諸如谷歌這類大型公司會為此制定相關規範,他們要求工程師在引入新的開源依賴時必須遵循相應的系統規定和流程,但這一過程往往會很繁瑣、需要手動操作且容易導致出錯。
  • 谷歌開源NLP模型可視化工具LIT,模型訓練不再「黑箱」
    假如有一款可視化的工具,能夠幫助研究人員更好地理解模型行為,這應該是件非常棒的事。近日,Google 研究人員發布了一款語言可解釋性工具 (Language Interpretability Tool, LIT),這是一個開源平臺,用於可視化和理解自然語言處理模型。
  • 截屏、文字提取一氣呵成,超實用OCR開源小工具
    今天我們就為大家介紹一款 GitHub 用戶 ianzhao05 剛發布的小工具——textshot,只需要截屏就能實時生成文字。讀者也可以通過此項目大致了解如何對圖像中的文本進行識別。例如,python textshot.py eng + fra 將使用英語作為主要語言,使用法語作為次要語言。默認值為英語(eng)。同時確保為其他語言安裝了適用於 Tesseract 的數據文件。建議將熱鍵附加到此工具上。對於 Windows 來說,可以使用 AutoHotkey 腳本來完成此操作;textshot.ahk 同時也包含一個可以使用的示例 AHK 腳本。
  • 谷歌又來開源了,這次是資料庫備份檢查工具
    谷歌又發布了一個新的開源工具,據說是用於驗證PostgreSQL(Postgres)資料庫備份。之前,該工具只提供給Google Cloud SQL for Postgres的客戶使用,但從本周開始,它也可以作為開原始碼使用了。  Google雲計算部門的產品經理Brett Hesterberg和高級軟體工程師Alexis Guajardo是這樣描述這項新功能的:管理員可以針對Postgres資料庫執行的命令行工具。
  • 這10個開源安全工具你知道幾個?
    【IT168 評論】開源工具可以為IT安全人士實施安全措施和學習培訓奠定堅實的基礎。以下是人們應該知道的10個IT安全工具:  (1)Nessus(可見性)因此,它可以是自動化安全系統的核心,也可以是一系列商業產品的組件。  Snort公司現在由思科公司收購,繼續發展業務,並由一個活躍的社區開發。社區開發的入侵檢測系統(IDS)規則是可用的,以商業為基礎獲得許可的規則。如果不將Snort引入討論中,IT安全人士就很難與開源安全軟體進行真正的對話,而這是業界和市場的重要組成部分。
  • 34個最優秀好用的Python開源框架
    人工智慧和深度學習的熱潮極大的帶動了Python的發展,迅速在Python生態圈中催生了大批的涉及各個方面的優秀Python開源框架,今天小編就帶你回顧下2018年度最優秀好用的Python開源框架。下面是從2018年中近10000個python開源框架中評價整理的34個最為好用的開源框架,它們細分可以分為Python Toolkit、Web、Terminal、Code Editor、Debugging、complier、Data Related、Chart8類,分布情況如下圖:Python ToolKit
  • 【第sin²α+cos²α天】對比學習Python|Go|PHP|JacaScript
    Web滲透,學習Php,Js,了解php與Js的基礎語法,並且在以後的代碼審計中可以找出代碼的薄弱之處,我們還會學習Python與Go語言,這對於以後我們使用這兩種語言開發自己的工具建立基礎。WHYPython最開始被設計用於編寫自動化腳本,所以基於Python寫成的掃描工具不計其數,例如被稱為瑞士軍刀的Nmap,還有強大的SQL注入工具SQLMAP,並且Python是跨平臺的,Linux與Windows都可以使用,他能快速實現並驗證我們的想法,而且如果不能學會自己使用開發語言來開發自己的工具,只會使用別人開發的工具那麼永遠
  • Facebook 發布開源框架 PyTorch, Torch 終於被移植到 Python 生態...
    如今,作為經典機器學習庫 Torch 的埠,PyTorch 為 Python 語言使用者提供了舒適的寫代碼選擇。雷鋒網此前對 Torch 做過介紹。詳情請看盤點四大民間機器學習開源框架:Theano、Caffe、Torch 和 SciKit-learn 。
  • 年薪200萬的程式設計師,推薦的10大Python開源免費工具!
    當您想要在計算機上操作數字並顯示或發布結果時,此工具是一個很好的選項,它也是免費的。Dask - Dask是一種通過集成到其他社區項目(如NumPy,Pandas和Scikit-Learn)來為分析提供並行性的工具。 通過這種方式,您可以通過僅更改幾行代碼來快速並行化現有代碼,因為它的DataFrame與Pandas庫中的相同,其Array對象的工作方式類似於NumPy,以及。
  • 可能是國內最火的開源項目 —— Python 篇
    語言近年來發展勢頭一路攀升,因此本文整理了 Python 語言中評分超過 8.0 分的幾款項目,並附上評分和收藏量,以供開發者選擇和交流,排名如下:開源 ERP 系統 GoodERP評分:8.7,收藏:74GOODERP是一個開源ERP項目,軟體採用agpl協議,版權歸代碼提交者所有,項目範圍是一組功能模塊,包括財務加進銷存的核心模塊及滿足行業特殊需求的模塊,這些模塊都以