谷歌表示,其自动测试机器人OSS-模糊在过去两年中已经识别并报告了广泛使用的开源项目中的9000多个漏洞。
OSS-Fuzz于2016年12月推出,是谷歌开发的自动化工具,可以通过一种名为模糊测试的技术发现应用程序中的漏洞。
谷歌利用机器人自动检测代码漏洞(图片来源:iStockphoto)
模糊测试技术的工作原理是向软件应用程序提供大量随机数据,并分析其输出异常和崩溃。这反过来为开发人员提供了关于可能错误的应用程序代码。
测试已经存在了几十年,但是混淆器只是在最近几年才被广泛采用。谷歌是推动编码人员和安全研究人员采用这种实用工具和技术的主要公司之一。
谷歌近年来已经开放了几次模糊测试,比如2007年的Flayer。但到目前为止,它最大的项目是2016年12月推出的OSS-模糊。
OSS-Fuzz是作为开源工具发布的,任何人都可以从GitHub下载并检测自己的代码。
OSS-Fuzz“服务”将识别参与项目中的错误,谷歌安全工程师将对发现的漏洞进行审查,然后根据调查结果提交错误报告。
此外,谷歌还将OSS-Fuzz基于云的服务整合到其“bug fixing”奖励计划中,这意味着谷歌还将为其工程师通过OSS-Fuzz平台识别和报告的bug支付开源项目奖励。
参与开源项目有资格获得每个漏洞修复500到20,000美元的奖励,但他们还可以获得修改代码以在更深层次上与OSS-模糊集成的奖励。
在今天的博客文章中,谷歌提供了OSS-模糊项目的状态更新。首先,OSS-模糊的基于云的服务已经更新,现在它比以前更加自动化,对人类审查员的依赖更少。
进入OSS-模糊云服务的新项目也有资格获得谷歌的补丁奖励计划,这意味着一些项目维护人员可能会非常高兴收到谷歌的OSS-模糊邀请邮件,因为这可以为他们提供额外的收入来源。
8月下旬,谷歌还开放了另一个名为BrokenType的内部模糊测试工具,一名工程师用它来识别字体显示(光栅化)组件中的几十个漏洞。
APP搜索中关村在线可以看到2018年最新的手机和笔记本评测排名。