原标题:Google释出开源软件专用的模糊测试专案OSS
示意图,与新闻事件无关。
图片来源:Google上周透过GitHub释出锁定开放源码软体的模糊测试专案OSS-Fuzz,以协助开发人员寻找软体中的错误之处,仍为测试版的OSS-Fuzz目前支援C与C++语言。
模糊测试(fuzz testing)为一软体测试技术,于软体中输入无效或随机资料来快速及全面监控程式的反应,经常被用来检测软体或电脑系统的安全漏洞。
Google说明,开放源码软体是许多程式、网站或服务的骨干,因此其稳定性、安全与可靠性相对重要,不管是当掉或是漏洞都会影响基于该骨干的所有服务。此外,最近的安全事件显示,重要的开放源码软体中若存在缓冲区溢位或释放后使用等漏洞,就可能造成严重后果,而且就算是经验老到的开发人员,也很难藉由例行性的程式码稽核发现错误,才让模糊测试应运而生。
OSS-Fuzz即是结合了现代的各种模糊测试技术及可延展的分散式执行来让通用的软体架构更安全也更稳定,初期它採用了libFuzzer模糊引擎与AddressSanitizer消毒剂,以及基于ClusterFuzz的分散式执行环境。
FreeType函式库作者之一的Werner Lemberg已利用基于OSS-Fuzz的模糊测试工具于数小时内找到FreeType中的堆积缓冲区溢位漏洞。
OSS-Fuzz会自动通知维护程式的开发人员,并自动进行修补确认,且皆于同一天完成,迄今已在各种开放源码专案中找到150个臭虫。
Google释出OSS-Fuzz的重点之一还希望推动模糊测试成为开放源码开发的标準程序之一,以确保重要开放源码专案的安全性。
相关:
苹果建议自驾车新进业者应享有与车厂相同测试权,展露对自驾车的野心
示意图,与新闻事件无关。 最近美国媒体掀出了一份由苹果提交给美国国家公路交通安全管理局(National Highway Traffic Safety Administration,NHTSA)的建议书,苹果在此一攸关美国联邦自动驾驶车政策的意见书中
英特尔近日宣布明年将全力布局AI,还要推出多个专用AI处理器晶片,包括代号为「Lake Crest」的AI晶片,以及搭配Xeon处理器代号为「Knights Crest」的AI晶片,都将专攻深度学习应用。至于Xeon Phi晶片也将会推出新产
ARM全球行销和策略联盟副总裁Ian Ferguson表示,现在谈AI还太早,明年并不会推出专用AI晶片设计。 图片来源: ARM 人工智慧AI已成为今年最火红技术之一,更成为许多大型科技和网路公司,如Google、微软、亚马逊、脸
韩国政界围绕朴槿惠总统的下台时间争执不定,而青瓦台1日再次重申了“将遵照国会决定”的原则性立场。有分析认为,青瓦台保持“战略模糊性”,是因为认为此举有助于把政界的关注集中在下台时间的争议上,有助于让弹劾
汽车推送软件更新的车载OBD出现严重漏洞, 一道App指令就可控制油门、车门开启
来自香港的2名资安研究员今日(12/1)在HITCON Pacific 2016资安大会中,揭露了汽车推送软体更新的车载装置OBD出现严重安全漏洞,将可能导致骇客能利用此漏洞远端植入恶意软体,控制汽功能。 来自香港的2名资安研究