开源项目OSS-Fuzz安装与使用指南

最新推荐文章于 2024-08-07 10:20:43 发布
最新推荐文章于 2024-08-07 10:20:43 发布
阅读量306 收藏 6
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00692/article/details/140982525
版权

开源项目OSS-Fuzz安装与使用指南

oss-fuzzOSS-Fuzz - continuous fuzzing for open source software.项目地址:https://gitcode.com/gh_mirrors/os/oss-fuzz

目录结构及介绍

当你克隆或下载了 OSS-Fuzz 的仓库 (https://github.com/google/oss-fuzz.git) 后, 最主要的目录和文件包括:

目录说明

  • infra: 包含了用于运行服务的基础架构代码和服务脚本. 这些脚本被用来搭建环境并执行模糊测试.

  • scripts: 收集了一系列用于自动化流程的shell脚本例如构建、测试以及上传结果等。

  • projects/: 每一个子目录代表了一个集成到OSS-Fuzz中的开源项目. 在这些子目录中包含了特定于该项目的模糊测试策略和必要的补丁以确保其能够顺利地进行模糊测试.

  • docker: 这个目录包含了Dockerfile和其他相关文件来创建在Google Cloud上运行的容器镜像.

  • images/: 存放由上述Dockerfile建立的不同类型的Docker镜像(如C/C++, Python, Go等语言的镜像).

文件说明

  • BUILD.bazel: bazel构建系统配置文件.
  • run_build.sh: 构建整个工程的脚本.
  • run_in_container.sh: 在指定的容器环境中运行命令的辅助脚本.
  • build_and_run_fuzzers.py: 负责构建和运行模糊器的主要python脚本.

项目的启动文件介绍

run_build.sh 这个脚本负责协调项目的整个构建流程从初始化工作空间、拉取依赖库、编译代码直到将所需的二进制文件打包成Docker镜像准备部署。 通过执行以下命令可以在本地环境下测试此过程:

./infra/helper/run_build.sh <project_name>

其中 <project_name> 是希望进行模糊测试的具体开源软件名称。

配置文件介绍

OSS-Fuzz 中有几个关键性的配置文件, 它们控制着模糊测试的运行方式和目标.

build.yaml

位于项目目录下的 build.yaml 控制了项目的构建逻辑, 包括依赖项管理, 编译命令和测试套件选择. 此外它还指定了如何将代码包装进Docker镜像以便云平台上的运行.

docker/Dockerfiles

Dockerfile是创建容器镜像的蓝图文件它描述了所需的操作系统环境以及该环境应安装哪些工具和库以支持模糊测试框架Libfuzzer 和 Sanitizer 的运行.

在不同的语言或技术栈下OSS-Fuzz提供了对应的Dockerfile模板例如针对C/C++ Python 或者Go语言的项目都有专门优化过的基础镜像。

FROM gcr.io/oss-fuzz-base/base-builder:v2

RUN apt-get update && apt-get install -y \
    python3-dev \
    python3-setuptools \
    ...

COPY . .

CMD ["/bin/bash", "-c", "pip3 install -e ."]

通过调整 RUNCMD 部分可以轻松定制化适合自己的开发环境而无需重复造轮子, 大大提高了构建效率。

以上信息涵盖了对 OSS-Fuzz 核心目录、启动脚本以及关键配置文件的基本理解. 如需更详细的实现细节建议阅读项目的README.md文件或访问社区论坛获取进一步的帮助和支持!

oss-fuzzOSS-Fuzz - continuous fuzzing for open source software.项目地址:https://gitcode.com/gh_mirrors/os/oss-fuzz

俞毓滢
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
谷歌免费开放模糊测试框架OSS-Fuzz(物联网、车联网、供应链安全、C/C++)
墨痕诉清风的博客
02-05 1235
模糊测试是一种通过向软件输入意外数据来模拟恶意攻击,从而发现潜在漏洞的技术。业界专家普遍认为模糊测试是一个强大的软件安全工具,不仅可以发现常见的低危漏洞,还能识别像缓冲区溢出这类高危问题。Synopsys Software Integrity Group的高级安全产品经理John McShane表示:“模糊测试已经存在数十年,随着其在发现未知漏洞和零日漏洞方面的成功,越来越受到欢迎。臭名昭著的心脏出血漏洞就是安全工程师使用商业模糊测试产品Defensics发现的。
毕业一年,从事运维感觉没有出路,如何转型更有前景?
Python_0011的博客
07-08 781
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
OSS-Fuzz 开源项目教程
最新发布
gitblog_00835的博客
08-07 1052
OSS-Fuzz 开源项目教程 oss-fuzzOSS-Fuzz - continuous fuzzing for open source software.项目地址:https://gitcode.com/gh_mirrors/os/oss-fuzz 项目介绍 OSS-Fuzz 是由 Google 开发的一个持续模糊测试服务,旨在提高开源软件的安全性和稳定性。OSS-Fuzz 通过自动运行模糊...
OSS-Fuzz----OSS-Fuzz简介
redrose2100的博客
07-12 1404
OSS-Fuzz是由Google开发和维护的一个开源项目,旨在帮助开发者改善软件的安全性和稳定性。它是一个自动化的模糊测试工具,可以在大规模的测试环境中发现软件中的漏洞和错误。OSS-Fuzz使用模糊测试技术,通过生成大量的随机输入数据来模拟各种情况下的软件行为。它会将这些随机输入数据传递给目标软件,并监控软件的行为和响应。如果软件在处理这些输入时发生崩溃、内存泄漏或其他异常行为,OSS-Fuzz会将这些问题报告给开发者。
oss-fuzzOSS-Fuzz-开源软件的连续模糊测试
02-05
OSS-Fuzz:开源软件的连续模糊测试 是一种用于发现软件编程错误的众所周知的技术。 其中许多可检测到的错误(例如)可能会带来严重的安全隐患。 通过部署 Google已经发现了的安全漏洞和稳定性错误,我们现在希望与开源社区共享该服务。 通过与和,OSS-Fuzz旨在通过将现代的模糊技术与可扩展的分布式执行相结合,使通用的开源软件更加安全和稳定。 我们将 , 和模糊测试引擎与以及 (分布式模糊测试执行环境和报告工具)结合使用来支持。 当前,OSS-Fuzz支持C / C ++,Rust,Go和Python代码。 支持的其他语言也可以使用OSS-Fuzz支持对x86_64和i386构建
聊聊模糊测试,以及几种模糊测试工具的介绍!
2301_77709772的博客
11-16 446
在当今的数字环境中,漏洞成为攻击者利用系统漏洞的通道,对网络安全构成重大威胁。这些漏洞可能存在于硬件、软件、协议实施或系统安全策略中,允许未经授权的访问并破坏系统的完整性。根据 "常见漏洞与暴露"(Common Vulnerabilities and Exposures,CVE)的跟踪,漏洞披露的激增令人震惊......就连。
OSS-Fuzz-开源软件的连续模糊测试。-Python开发
05-25
项目发行时间T OSS-Fuzz-开源软件的连续模糊测试状态:Beta。 我们正在准备将该项目公开发布。 常见问题| 理想的模糊集成| 新项目指南| 重现错误 项目| 项目问题跟踪器| 词汇表创建有关OSS-Fuzz的问题或反馈的新期刊...
OSS-Fuzz:容器和云计算在模糊测试中的应用 - Hanhan1
08-03
OSS-Fuzz是谷歌发起的一个项目,专注于对开源软件进行持续的模糊测试,以提高其安全性和稳定性。模糊测试,或称Fuzzing,是一种自动化的软件测试技术,通过向程序提供无效、意外或随机的输入来检测潜在的漏洞。这种...
Google模糊测试服务OSS-Fuzz.zip
07-17
过程概述以下过程用于 OSS-Fuzz 中的项目:开源项目或外部志愿者的维护者创建一个或多个模糊目标,并将它们与项目的构建和测试系统集成。该项目被 OSS-Fuzz 接受。当 ClusterFuzz 发现错误时,OSS-Fuzz 问题跟踪器中...
Smart Fuzzing智能模糊测试
「鸿渐之翼」的博客
04-04 4146
智能模糊测试在未来市场具有巨大潜能,掌握这套技术意味着我们对更多的安全产生了威胁,正如棱角的一句话来讲:“网络本是安全的,自从又了安全研究员,就不安全了”。
oss-fuzz-vulns:OSV的OSS-Fuzz漏洞
04-07
OSS-Fuzz漏洞 这是用于记录公开的漏洞的存储库,并且充当OSS-Fuzz漏洞的真相来源。 每个OSS-Fuzz漏洞都有由OSV添加的精确受影响的版本和提交版本信息。 用户可以在此处提交PR来更新任何信息。 格式规格 格式描述。 请注意,此格式可能不稳定,并可能会发生变化。 自动化 漏洞将作为一部分进行自动二等分和存储库分析,以确定受影响的提交范围和版本。 然后将它们自动导入此存储库中。 用户对该存储库中漏洞文件的任何更改将在几分钟之内触发OSV进行重新分析( , )。 OSV还将定期重新计算受影响的版本,并针对每个漏洞( )在不同分支中检测出最佳选择。 OSV还提供了一个 ,可让用户轻松查询此信息。 缺少条目 出于某些原因,这里可能没有OSS-Fuzz漏洞。 自动二等分失败 有时,二等分无法将引入的和固定的范围解析为可接受的小范围。 在这些情况下,我们选择保持数据库更
给你一份为期3个月的网络安全学习路线,1个月即可入门,仅学完入门阶段月薪就上万
m0_71744960的博客
02-10 300
今天给大家分享一份网络安全工程师自学计划指南,全文将从学习路线、学习规划、学习方法三个方向来讲述作为零基础小白如何通过自学进阶成为网络安全工程师,全文篇幅有点长,同学们可以先点个收藏,以免日后错过。
网络安全-好用的模糊测试器汇总与思考
关注网络安全、云原生安全
02-12 6161
目录用例生成器WEB模糊测试器协议模糊测试器文件模糊测试器二进制模糊测试器 用例生成器 WEB模糊测试器 - wfuzz-4.2k stars,WFuzz 是一个用于 Python 的 Web 应用程序安全模糊器工具和库,可对路径、文件、URL参数、POST请求等进行模糊测试。 WebScarab-该工具是一个具有模糊测试能力的Web应用审计套件 协议模糊测试器 SPIKE-第一个公开发布的模糊测试框架-包含预生成的、针对几种常用协议的模糊测试是脚本,可以API方式调用 Peach-跨平台模糊测试框架,P
oss-fuzz
平面到立体
03-11 947
oss fuzz
一些值得学习的Fuzzer开源项目
weixin_40563850的博客
10-25 724
【代码】一些值得学习的Fuzzer开源项目
谷歌模糊测试工具 ClusterFuzz 安装使用
weixin_43832070的博客
03-09 5212
谷歌模糊测试工具 ClusterFuzz 安装使用 本文发表于 TesterHome 社区,作者为资深测试开发工程师恒捷,原文标题为《谷歌开源模糊测试工具 ClusterFuzz 尝鲜记录 (进行中)》,原文链接:https://testerhome.com/topics/18171 目录 背景 本地搭建及运行 环境搭建 1、下载源码...
持续Fuzzing在DevSecOps中的应用
漏洞战争
03-01 625
长期以来,一直有个疑问:Fuzzing为何一直未被引入DevSecOps中?刚好本周有两件事引起我的关注:Google发布CIFuzz以支持Github项目实现CI构建过程中的持续Fuz...
Google 推出测试版开源安全工具 OSS-Fuzz
weixin_34132768的博客
06-02 1396
Google希望进行“模糊测试(fuzz testing,fuzzing)”,为程序提供随机数据输入,作为开源开发的标准部分。 为此,它刚刚在GitHub上推出了一个用于 OSS-Fuzz 的测试计划的项目,其目的在于推动现代模糊技术标准化,并将它们与可以根据需要扩展的分布式执行模型相结合,以确保重要开源项目的安全性。 根据 维基百科 的解释:“模糊测试...
oss-fuzz添加项目
09-05
要在OSS-Fuzz中添加一个项目,需要按照以下步骤进行操作: 1. 创建一个新的Github存储库,并将其设置为公共访问权限。在存储库中包含项目的源代码以及构建和测试脚本。 2. 在Google云平台上创建一个项目。确保该项目已启用OSS-Fuzz API,并将其链接到之前创建的Github存储库。 3. 在本地克隆OSS-Fuzz存储库,并添加您的新项目。 4. 创建一个名为"project.yaml"的文件,并在其中描述您的项目。包括项目名称、GitHub存储库的URL以及其他相关信息。 5. 提交并推送您的更改到您的Fork OSS-Fuzz存储库,并创建一个Pull Request。 6. 在OSS-Fuzz仓库中的Pull Request页面,将您的请求与OSS-Fuzz团队进行讨论,并进行其他必要的更改和修复。 7. OSS-Fuzz团队将审查并测试您的项目,并对其进行进一步处理,以确保其适合使用OSS-Fuzz进行模糊测试。 8. 一旦您的项目被接受,OSS-Fuzz使用Google云构建和运行系统来自动化为您的项目执行模糊测试。 9. 通过监视OSS-Fuzz仪表板和错误报告,您可以查看和跟踪您的项目的模糊测试结果。 10. 如果发现漏洞或问题,可以及时回馈给OSS-Fuzz团队,以便他们可以帮助修复和改进您的项目。 通过这些步骤,您就可以将项目成功添加到OSS-Fuzz中,并利用它进行强大的模糊测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

俞毓滢

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值