谷歌表示,该公司的自动化测试机器人OSS-Fuzz,在过去两年中已经识别并报告了广泛使用的开源项目中的9,000多个漏洞。
OSS-Fuzz于2016年12月推出,是Google开发的一款自动化工具,可通过称为模糊测试的技术查找应用程序中的漏洞。
谷歌利用机器人自动检测代码漏洞(图片来源:iStockphoto)
模糊测试技术的工作原理是通过向软件应用程序提供大量随机数据并分析其输出异常和崩溃 。这反过来又为开发人员提供了关于存在可能错误的应用程序代码。
模糊测试已经存在了几十年,但是模糊器近年来才被广泛采用,谷歌一直是推动编码人员和安全研究人员采用这种公用事业和技术的主要公司之一。
Google近年来开放了几款模糊测试,比如2007年的Flayer。但到目前为止,它最大的项目是2016年12月推出的OSS-Fuzz 。
OSS-Fuzz作为一个开源工具发布,任何人都可以从GitHub下载并检测它们自己的代码。
OSS-Fuzz“服务”将识别参与项目中的错误,Google安全工程师将审查发现的漏洞,然后根据调查结果提交错误报告。
此外,Google还将OSS-Fuzz基于云的服务与其“错误修补”奖励计划集成在一起,这意味着Google还将为其工程师通过OSS-Fuzz平台识别和报告的错误支付开源项目奖励。
参与的开源项目有资格获得每个修补bug的500美元到20,000美元,但是他们还获得了修改代码以在更深层次上与OSS-Fuzz集成的奖励。
在今天的博客文章中,Google提供了OSS-Fuzz项目的状态更新。首先,OSS-Fuzz基于云的服务已经进行了一些更新,现在比以前更加自动化,对人类审阅者的依赖越来越少。
进入OSS-Fuzz云服务的新项目也有资格获得Google的补丁奖励计划,这意味着一些项目维护者可能非常乐意接收Google的OSS-Fuzz邀请电子邮件,因为它可以为他们提供额外的收入来源。
在8月下旬,谷歌还开放了另一个名为BrokenType的内部模糊测试工具,其中一名工程师曾用它来识别字体显示(光栅化)组件中的数十个漏洞。
本文属于原创文章,如若转载,请注明来源:谷歌自动化测试机器人过去两年查出9000处错误//net.zol.com.cn/702/7025782.html
