谷歌發布 OSS-Fuzz 開源模糊測試服務

2020-12-16 開源中國

谷歌發布 OSS-Fuzz 開源模糊測試服務:專利還是開源好?

僅在微軟宣布提供Springfield編碼模糊測試服務兩個月後,谷歌也發布了他們自己的面向對象存儲模糊測試,OSS-Fuzz的測試版。這兩個項目的目的都是為了幫助開發者鎖定導致入侵的程序錯誤,但是項目本身就像這兩家公司的商業模式一樣,大相逕庭。一個需要付費另一個則是免費,一個擁有專利保護另一個則是開源的。

谷歌的OSS-Fuzz能夠針對開源軟體進行持續的模糊測試,其測試開發團隊昨天的博客中寫到「OSS-Fuzz的目的是利用更新的模糊測試技術與可拓展的分布式執行相結合,提高一般軟體基礎架構的安全性與穩定性。OSS-Fuzz結合了多種模糊測試技術/漏洞捕捉技術(即原來的libfuzzer)與清洗技術(即原來的AddressSanitizer),並且通過ClusterFuzz為大規模可分布式執行提供了測試環境。」

這項服務填補了Springfield留下的空白:微軟的模糊測試服務針對的是願意付費的企業客戶。雖然並沒有排除開源開發者,但值得注意的是它明確將企業客戶作為目標:適合測試內部軟體、通過企業併購獲得的軟體、甚至是購買的第三方軟體。

谷歌提到「開源軟體是很多應用、站點、服務以及萬物互聯的物聯網的骨幹中樞...一個例子是FreeType library,一個在十億以上設備上使用,用來轉換字體的庫(也許你正在看的這些文字也是由它轉換呈現的)。」對於這種軟體來說,沒有程序問題並且安全是很重要的。「最近FreeType的漏洞捕捉器在原始碼變化後的幾小時內就找到了新的堆緩衝區。」

此服務「持續性」的特點還能解決另一個問題:開源軟體會有大量不同維護人員不斷地更新、變化。Google表示,「OSS-Fuzz可以自動提醒維護人員,誰修復了程序錯誤,並且還能自動確認這個修復。一切都在一天內完成!」

並沒有跡象表明谷歌和微軟的服務哪個更好---他們為了不同的目的採取不同手段。HD Moore,Metasploit與Special Circumstance有限責任公司的創始人表示,「OSS-Fuzz的成就,可以同開源中的Coverity工具相提並論;通過應用商業化資源去提高那些重要的開源軟體與庫的安全性。」

「Springfield會有些不同,」他繼續說,「它的重點是對所有付費的開發者提供服務而不僅是開源的那些。谷歌作為一個因其員工對開源工具(例如AFL等)的耕耘而在此領域做出傑出貢獻的公司,在這方面的成就似乎與其保持了一致。」

目前,谷歌測試版只對有大量用戶群或者對全球IT基礎架構至關重要的開源軟體提供服務。這暗示著,儘管沒有直截了當地說明,這一切仍會變化。「通過你的幫助,我們可以將模糊測試作為開源發展中的一個標準規範,並和廣大開發者、安全測試人員一道,確保那些重要開源應用、庫以及API中的程序錯誤都能被發現和修復。」

Robin Wood是一位獨立的滲透測試人員與安全工具開發者。他不是很確定OSS-Fuzz最終能對所有人開放。「谷歌的工具似乎對能使用它的人群來說仍有一定限制;谷歌要求這個項目要麼有龐大用戶群要麼對全球IT至關重要,然而微軟的工具可以任何人使用但要收你的錢,」他對SecurityWeek表示,「我能理解谷歌只是想限制他所承擔的費用;所以這不算是在批評他們。」

然而他非常確信,谷歌走在正確的路上。「微軟工具使用它們內部打造出來的軟體然而谷歌工具用的是外部框架並且能拓展應用更加多樣化且不同的工具;這就能變得更加靈活。儘管想要做到一致,但任何工具自己的特性都會使其在某些領域做的更好些,而另一些領域則差些。」

Moore還認為,OSS-Fuzz「能夠大大支持開源社區的發展並遠超過其他公司在這個領域所做的努力。」

Wood覺得Springfield和OSS-Fuzz都不錯,「當服務與產品狀態穩定時將這兩個對比做一個fuzz-off的測試結果看看他們各自找到什麼應該會很有趣。但是無論任何哪個工具最後成為『更好的』那一個,如果我有機會,為了確保萬無一失我想這兩個我都會嘗試一下。」

轉自:安全牛

相關焦點

  • 2021年軟體測試工具總結——模糊測試工具
    https://github.com/Hwangtaewon/radamsaHonggfuzz是由谷歌開發的,和AFL類似,採用遺傳算法進行編譯,是一個多進程和多線程的模糊生成器,所以用Honggfuzz進行fuzzing的速度非常快,在安全漏洞發現中的表現十分突出。
  • 微軟為Azure發布了開源模糊測試框架ProjectOneFuzz
    日前,微軟宣布發布了一款Azure的開源模糊測試框架Project OneFuzz,過去一年,這家科技巨頭一直在內部使用該框架來查找和修補漏洞。模糊測試用於發現軟體中的漏洞和其他缺陷,通過向目標應用程式中注入錯誤數據,查看它是否崩潰或有意外表現,這可能表明問題的存在。Project OneFuzz被微軟描述為一個可擴展的模糊測試框架,旨在解決一些通常與模糊測試相關的挑戰,使開發人員能夠自己進行這種類型的測試,並允許安全工程師專注於其他重要的任務。
  • 漏洞挖掘|開源Fuzzer和Fuzzing學習資源整理
    目錄模糊測試(fuzzing)介紹 模糊測試流程 基本要求 存在的問題輸入 數據的關聯分析 測試用例集的構建方法 測試異常分析 模糊測試框架比較好的開源Fuzzers 文件格式Fuzzers 網絡協議Fuzzers 通用類型Fuzzers 瀏覽器Fuzzers 驅動
  • 使用Peach進行模糊測試從入門到放棄
    常用fuzz框架在研究網絡協議模糊測試時,sulley和peach兩大框架是最常見的Fuzz框架,peach相對於sulley有以下幾點優勢:1、功能方面:sulley和peach完成的功能點都是一樣,peach可對多種協議、文件進行模糊測試,而sulley只能對網絡協議進行測試。
  • 自動給神經網絡找bug,Google發布TensorFuzz
    兩位谷歌大腦研究員Augustus Odena和Ian Goodfellow說,好像能。他們推出了一種自動為神經網絡做軟體測試的方法:TensorFuzz。它非常擅長自動發現那些只有少數某些輸入會引發的錯誤。
  • 谷歌收購Android圖形驅動測試服務GraphicsFuzz
    【獵雲網(微信號:)】8月7日報導(編譯:福爾摩望)谷歌收購了GraphicsFuzz,該公司建立了一個框架來測試Android圖形驅動程序的安全性和可靠性。就在同一天,谷歌宣布發布了Android 9 Pie。谷歌發言人向我們證實了這一消息,但拒絕提供更多的信息。兩家公司也拒絕提供有關收購價格的任何細節信息。GraphicsFuzz團隊由聯合創始人Alastair Donaldson、Hugues Evrard和Paul Thomson組成。
  • Google推出Fuzzer基準測試服務FuzzBench
    Google推出了可用於評估模糊測試器(Fuzzer)的開源免費服務FuzzBench,FuzzBench提供用戶方便但嚴格的模糊測試,並降低採用模糊測試的障礙。模糊測試是一種軟體測試技術,通過自動或半自動產生輸入另一個程序的亂數據,以探索程序可能出現的異常狀況,Google提到,他們內部使用了libFuzzer和AFL等各式Fuzzer,發現了數以萬計的bug。
  • 谷歌開源 Scorecards,為開源項目安全性「打分」
    開源軟體的廣泛應用催生了日漸增多的開源軟體供應鏈攻擊,與普通供應鏈攻擊不同,開源軟體擁有更長的「信任鏈」和更大的影響力,因此導致的結果之一就是破壞性更大
  • 谷歌發布開源工具DOM Snitch 識別危險軟體
    谷歌發布開源工具DOM Snitch 識別危險軟體 騰訊科技訊(觀海)北京時間6月22日消息,據國外媒體報導,谷歌今天發布了開源工具DOM Snitch,以試圖對在瀏覽器中運行中的危險軟體進行標記
  • 微軟宣布一款新開源工具Project OneFuzz 面向Azure的模糊測試平臺
    在為 Visual Studio Code 升級 C++ 擴展至 1.0 版本之外,今天微軟還宣布了一款新的開源工具--Project OneFuzz。作為已經退休的 Security Risk Detection Service 繼任者,該工具是面向 Azure 的開源自託管開發者模糊測試平臺。
  • 從AFL開始FUZZ之旅
    前言我想介紹一些不一樣的東西-fuzz,也就是大家常說的模糊測試。Fuzz是近幾年來安全頂會的熱門,投稿難度也越來越大。一次成功的fuzz甚至能挖掘出幾十個CVE。我準備在該文章中先介紹fuzz相關的知識,然後以AFL為例演示一個fuzz例子;不足之處還請各位讀者斧正。
  • Peach原理簡介與實戰:以Fuzz Web API為例
    0x0 此文目的Fuzz即模糊測試,是一種使用大量的隨機數據測試系統安全的方法,Peach就是一種這樣的工具。
  • 微軟全新開源BUG尋找工具Project OneFuzz
    本文轉自【cnBeta.COM】;在為 Visual Studio Code 升級 C++ 擴展至 1.0 版本之外,今天微軟還宣布了一款新的開源工具--Project OneFuzz。作為已經退休的 Security Risk Detection Service 繼任者,該工具是面向 Azure 的開源自託管開發者模糊測試平臺。 模糊測試本質上是通過嚴格的測試過程來消除可利用的安全漏洞,包括用大量隨機數據淹沒相關程序。雖然相當有用,但執行起來往往也很複雜。
  • Adobe與谷歌共同發布中/日/韓開源新字體
    Adobe在線字體庫Typekityu與谷歌一起正式發布了新款開源字體:思源黑體(Source Han Sans)。這款字體由Adobe與谷歌合作開發,風格介於現代和傳統之間,提供了對日、韓、中文(簡/繁體)的支持,包含了7種不同粗細規格。
  • 開源巨獻:Google最熱門60款開源項目
    (詳情:https://github.com/tensorflow/tensor2tensor)48、Google 模糊測試服務 OSS-Fuzz   ★Star 1781OSS-Fuzz 能夠針對開源軟體進行持續的模糊測試,它的目的是利用更新的模糊測試技術與可拓展的分布式執行相結合
  • 模糊測試技術入門,Part 1-2
    通常情況下,當提到模糊測試一詞時,指的就是這種類型的模糊測試。模糊測試的類型實際上,常見的模糊測試技術有三種,下面分別進行介紹。白盒模糊測試我們所說的白盒模糊測試,實際上指的是這樣一種測試技術:Fuzzer會試圖分析程序的內部結構,以跟蹤和最大化代碼覆蓋率。
  • 開源巨獻:五十多款Google最熱門開源項目
    詳情:https://github.com/tensorflow/tensor2tensor48、Google 模糊測試服務 OSS-Fuzz   ★Star 1781OSS-Fuzz 能夠針對開源軟體進行持續的模糊測試,它的目的是利用更新的模糊測試技術與可拓展的分布式執行相結合,提高一般軟體基礎架構的安全性與穩定性
  • 安卓開源背後:谷歌用開源的「幌子」,抓住了手機廠商的命根
    所以開源是為了對抗蘋果的iOS系統。當谷歌將安卓開源之後,確實迅速的吸引了智慧型手機廠商的入局,打敗了Symbian,超過蘋果iOS,成為全球第一大行動作業系統。但另外一方面,谷歌確立了自己的霸主地位之後,卻也玩起了「把戲」,以開源為幌子,再慢慢的通過一系列手法,掏空開源的安卓系統,將手機廠商的命根子抓住了,雖然說是開源,但事實上,並不是真正的全開源,所以Linux才一直譏諷Android是偽開源。
  • 谷歌發布量子開源軟體 傳統化學家「不感冒」
    谷歌在推動量子計算機方面又有新動作。近日,谷歌公布了一款開源軟體,能夠旨讓科學家和研究人員更方便地使用量子計算機的軟體支持他們的研究。不過傳統化學界對此似乎並不感冒。這款名為Open Fermion的開源軟體包含有一個算法庫,能在量子計算機上模擬電子的相互作用。電子的相互作用在化學和材料科學領域都非常重要。
  • 谷歌發布 3D 圖形開源壓縮庫:「Draco」
    谷歌旗下的Chrome Media團隊近日宣布了一個為3D圖形設計的新的開源項目,名為「Draco」。