OSS-Fuzz 开源项目教程

于 2024-08-07 10:20:43 发布
阅读量425 收藏 15
点赞数 14
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00835/article/details/140982731
版权

OSS-Fuzz 开源项目教程

oss-fuzzOSS-Fuzz - continuous fuzzing for open source software.项目地址:https://gitcode.com/gh_mirrors/os/oss-fuzz

项目介绍

OSS-Fuzz 是由 Google 开发的一个持续模糊测试服务,旨在提高开源软件的安全性和稳定性。OSS-Fuzz 通过自动运行模糊测试器来检测开源项目中的漏洞和错误,并私下通知开发者。自2016年启动以来,OSS-Fuzz 已经帮助识别并修复了超过10,000个漏洞和36,000个错误,涵盖了1,000多个项目。

项目快速启动

设置 OSS-Fuzz 项目

  1. 克隆 OSS-Fuzz 仓库

    git clone https://github.com/google/oss-fuzz.git
cd oss-fuzz

  2. 配置项目

    projects 目录下创建一个新的项目目录,并添加必要的配置文件(如 project.yamlDockerfile)。

    # projects/your_project/project.yaml
homepage: "https://your-project-homepage.com"
language: "c"

    # projects/your_project/Dockerfile
FROM gcr.io/oss-fuzz-base/cifuzz-builder:latest
RUN apt-get update && apt-get install -y \
    your-project-dependencies

  3. 编写模糊测试器

    projects/your_project/fuzzers 目录下编写模糊测试器代码。

    // projects/your_project/fuzzers/fuzzer.c
#include <stdint.h>
#include <stddef.h>

extern int LLVMFuzzerTestOneInput(const uint8_t *data, size_t size) {
    // 模糊测试逻辑
    return 0;
}

  4. 构建和运行

    使用 build.sh 脚本构建和运行模糊测试器。

    ./infra/base-images/all.sh
./infra/helper.py build_image your_project
./infra/helper.py build_fuzzers your_project
./infra/helper.py run_fuzzers your_project

应用案例和最佳实践

应用案例

OSS-Fuzz 已经被广泛应用于各种开源项目中,例如 OpenSSL、SQLite 和 FreeType 等。通过持续的模糊测试,这些项目能够及时发现并修复潜在的安全漏洞和错误。

最佳实践

  1. 定期更新模糊测试器:确保模糊测试器能够覆盖最新的代码路径和功能。
  2. 集成 CI/CD 流程:将模糊测试集成到项目的持续集成和持续部署流程中,以便自动运行测试。
  3. 分析和优化:定期分析模糊测试结果,并根据需要优化模糊测试器和测试策略。

典型生态项目

OSS-Fuzz 的生态系统包括以下几个关键项目:

  1. ClusterFuzz:一个分布式模糊测试执行环境和报告工具,用于大规模运行模糊测试。
  2. libFuzzer:一个基于 LLVM 的模糊测试引擎,与 OSS-Fuzz 紧密集成。
  3. AFL:American Fuzzy Lop,一个广泛使用的模糊测试工具,也支持与 OSS-Fuzz 集成。

通过这些项目的协同工作,OSS-Fuzz 能够为开源社区提供强大的模糊测试支持,帮助提高软件的安全性和稳定性。

oss-fuzzOSS-Fuzz - continuous fuzzing for open source software.项目地址:https://gitcode.com/gh_mirrors/os/oss-fuzz

吕曦耘George
关注
  • 14
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
谷歌免费开放模糊测试框架OSS-Fuzz(物联网、车联网、供应链安全、C/C++)
墨痕诉清风的博客
02-05 1194
模糊测试是一种通过向软件输入意外数据来模拟恶意攻击,从而发现潜在漏洞的技术。业界专家普遍认为模糊测试是一个强大的软件安全工具,不仅可以发现常见的低危漏洞,还能识别像缓冲区溢出这类高危问题。Synopsys Software Integrity Group的高级安全产品经理John McShane表示:“模糊测试已经存在数十年,随着其在发现未知漏洞和零日漏洞方面的成功,越来越受到欢迎。臭名昭著的心脏出血漏洞就是安全工程师使用商业模糊测试产品Defensics发现的。
探索OSS-Fuzz:谷歌开源的漏洞发现框架
gitblog_00058的博客
04-25 527
探索OSS-Fuzz:谷歌开源的漏洞发现框架 oss-fuzzOSS-Fuzz - continuous fuzzing for open source software.项目地址:https://gitcode.com/gh_mirrors/os/oss-fuzz 项目简介 OSS-Fuzz 是一个由谷歌发起并维护的开源项目,其目标是帮助开放源代码软件(OSS)进行持续集成和模糊测试,以便早期...
OSS-Fuzz----OSS-Fuzz简介
redrose2100的博客
07-12 1281
OSS-Fuzz是由Google开发和维护的一个开源项目,旨在帮助开发者改善软件的安全性和稳定性。它是一个自动化的模糊测试工具,可以在大规模的测试环境中发现软件中的漏洞和错误。OSS-Fuzz使用模糊测试技术,通过生成大量的随机输入数据来模拟各种情况下的软件行为。它会将这些随机输入数据传递给目标软件,并监控软件的行为和响应。如果软件在处理这些输入时发生崩溃、内存泄漏或其他异常行为,OSS-Fuzz会将这些问题报告给开发者。
Google 推出测试版开源安全工具 OSS-Fuzz
weixin_34132768的博客
06-02 1390
Google希望进行“模糊测试(fuzz testing,fuzzing)”,为程序提供随机数据输入,作为开源开发的标准部分。 为此,它刚刚在GitHub上推出了一个用于 OSS-Fuzz 的测试计划的项目,其目的在于推动现代模糊技术标准化,并将它们与可以根据需要扩展的分布式执行模型相结合,以确保重要开源项目的安全性。 根据 维基百科 的解释:“模糊测试...
开源项目OSS-Fuzz安装与使用指南
最新发布
gitblog_00692的博客
08-07 124
开源项目OSS-Fuzz安装与使用指南 oss-fuzzOSS-Fuzz - continuous fuzzing for open source software.项目地址:https://gitcode.com/gh_mirrors/os/oss-fuzz 目录结构及介绍 当你克隆或下载了 OSS-Fuzz 的仓库 (https://github.com/google/oss-fuzz.gi...
oss-fuzz-gen:一款基于LLM的模糊测试对象生成与评估框架
2401_84466224的博客
05-30 1045
教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。oss-fuzz-gen是一款基于LLM的模糊测试对象生成与评估框架,该工具可以帮助广大研究人员使用多种大语言模型(LLM)生成真实场景中的C/C++项目以执行模糊测试。1、Vertex AI中Code Bison模型的vertex_ai_code-bison或vertex_ai_code-bison-32k;4、与OSS-Fuzz中现有的人工编写的模糊目标相比,运行时行覆盖率存在的差异;
发现安全漏洞的新星:OSS-Fuzz Vulnerabilities
gitblog_00005的博客
06-21 412
???? 发现安全漏洞的新星:OSS-Fuzz Vulnerabilities 项目地址:https://gitcode.com/google/oss-fuzz-vulns 在当今的软件开发领域,开放源代码已成为推动技术创新的重要力量。然而,随着开源项目规模和复杂性的增加,隐藏的安全风险也日益凸显。在此背景下,一个致力于提升开源社区安全性、由Google发起的项目——OSS-Fuzz Vulnerabi...
Fuzz工具对比及使用体验
INSBUG的博客
12-29 1454
它保持了原始AFL用户友好的特性,同时引入了更多先进的技术,如更好的插桩技术、上下文感知的变异方法和更加灵活的API。在AFL中,AFL要用到一个64KB bitmap来保存Coverage的信息,在AFL进行fuzzing的时候,会发生碰撞,两个块之间的路径构成一个边,AFL为边赋了hash值,这个hash值就代表这条边,可是不同的边计算出的hash值可能是一样的,于是就发生了Collision , Collision可能会导致某些input到达新的路径,但AFL却没有将该input作为seed。
一些值得学习的Fuzzer开源项目
weixin_40563850的博客
10-25 686
【代码】一些值得学习的Fuzzer开源项目
oss-fuzzOSS-Fuzz-开源软件的连续模糊测试
02-05
OSS-Fuzz:开源软件的连续模糊测试 是一种用于发现软件编程错误的众所周知的技术。 其中许多可检测到的错误(例如)可能会带来严重的安全隐患。 通过部署 Google已经发现了的安全漏洞和稳定性错误,我们现在希望与...
OSS-Fuzz-开源软件的连续模糊测试。-Python开发
05-25
项目发行时间T OSS-Fuzz-开源软件的连续模糊测试状态:Beta。 我们正在准备将该项目公开发布。 常见问题| 理想的模糊集成| 新项目指南| 重现错误 项目| 项目问题跟踪器| 词汇表创建有关OSS-Fuzz的问题或反馈的新期刊...
OSS-Fuzz:容器和云计算在模糊测试中的应用 - Hanhan1
08-03
OSS-Fuzz是谷歌发起的一个项目,专注于对开源软件进行持续的模糊测试,以提高其安全性和稳定性。模糊测试,或称Fuzzing,是一种自动化的软件测试技术,通过向程序提供无效、意外或随机的输入来检测潜在的漏洞。这种...
OSS-Fuzz:Google开发的开源软件:持续模糊测试-python
06-18
OSS-Fuzz:Google开发的开源软件:持续模糊测试。 模糊测试是发现各种软件编程错误的一个众所周知的技术。许多这些检测到的错误(如缓冲区溢出)可以有严重的安全隐患。据称对Chrome组件进行模糊测试,发现了成百个...
Google模糊测试服务OSS-Fuzz.zip
07-17
过程概述以下过程用于 OSS-Fuzz 中的项目:开源项目或外部志愿者的维护者创建一个或多个模糊目标,并将它们与项目的构建和测试系统集成。该项目被 OSS-Fuzz 接受。当 ClusterFuzz 发现错误时,OSS-Fuzz 问题跟踪器中...
rx_a7_analysis.v
08-06
rx_a7_analysis
Spring Boot高校党务系统.zip
08-06
Spring Boot高校党务系统.zip
简约漂亮的网站弹窗公告源代码 使用cookie记录
08-06
简约漂亮的网站弹窗公告源代码 使用cookie记录
Linux数据传输利器:curl命令的全面指南
08-06
Linux是一种开源的、基于Unix的操作系统内核,由林纳斯·托瓦兹(Linus Torvalds)于1991年首次发布。Linux内核是操作系统的核心部分,负责管理系统资源、调度进程、处理硬件设备请求等。Linux内核以其稳定性、安全性、灵活性和高性能而闻名。 Linux操作系统的特点包括: 1. **开源**:Linux的源代码对所有人开放,任何人都可以查看、修改和重新发布。 2. **跨平台**:Linux可以在多种硬件平台上运行,包括个人电脑、服务器、移动设备、嵌入式系统等。 3. **多用户和多任务**:Linux支持多用户同时使用系统,并且能够同时执行多个任务。 4. **稳定性和安全性**:Linux系统以其稳定性和安全性而著称,适合用于服务器和其他需要高可靠性的应用。 5. **社区支持**:Linux拥有一个庞大的开发者和用户社区,提供大量的支持和资源。 6. **定制性**:用户可以根据自己的需要定制Linux系统,包括选择不同的桌面环境、应用程序和配置选项。 7. **广泛的软件支持**:Linux拥有丰富的软件库,包括服务器软件、图形界面、办公软件、开发工具
oss-fuzz添加项目
09-05
要在OSS-Fuzz中添加一个项目,需要按照以下步骤进行操作: 1. 创建一个新的Github存储库,并将其设置为公共访问权限。在存储库中包含项目的源代码以及构建和测试脚本。 2. 在Google云平台上创建一个项目。确保该项目已启用OSS-Fuzz API,并将其链接到之前创建的Github存储库。 3. 在本地克隆OSS-Fuzz存储库,并添加您的新项目。 4. 创建一个名为"project.yaml"的文件,并在其中描述您的项目。包括项目名称、GitHub存储库的URL以及其他相关信息。 5. 提交并推送您的更改到您的Fork OSS-Fuzz存储库,并创建一个Pull Request。 6. 在OSS-Fuzz仓库中的Pull Request页面,将您的请求与OSS-Fuzz团队进行讨论,并进行其他必要的更改和修复。 7. OSS-Fuzz团队将审查并测试您的项目,并对其进行进一步处理,以确保其适合使用OSS-Fuzz进行模糊测试。 8. 一旦您的项目被接受,OSS-Fuzz将使用Google云构建和运行系统来自动化为您的项目执行模糊测试。 9. 通过监视OSS-Fuzz仪表板和错误报告,您可以查看和跟踪您的项目的模糊测试结果。 10. 如果发现漏洞或问题,可以及时回馈给OSS-Fuzz团队,以便他们可以帮助修复和改进您的项目。 通过这些步骤,您就可以将项目成功添加到OSS-Fuzz中,并利用它进行强大的模糊测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吕曦耘George

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值