OSS-Fuzz：开源软件的持续模糊测试

[模糊测试]是一种著名的技术，用于发现软件中的编程错误。许多可检测到的错误，如[缓冲区溢出]，可能会带来严重的安全隐患。Google通过对Chrome组件进行[引导式进程内模糊测试]，已经发现了[数千个]安全漏洞和稳定性问题，现在我们希望与开源社区分享这项服务。

OSS-Fuzz与[核心基础设施计划]和[OpenSSF]合作，旨在通过结合现代模糊测试技术和可扩展的分布式执行，使常见的开源软件更加安全和稳定。不符合OSS-Fuzz条件的项目（如闭源项目）可以运行自己的[ClusterFuzz]或[ClusterFuzzLite]实例。

我们支持[libFuzzer]、[AFL++]和[Honggfuzz]模糊测试引擎，结合[Sanitizers]，以及[ClusterFuzz]（一个分布式模糊测试执行环境和报告工具）。

目前，OSS-Fuzz支持C/C++、Rust、Go、Python、Java/JVM和JavaScript代码。其他由[LLVM]支持的语言也可能适用。OSS-Fuzz支持对x86_64和i386构建进行模糊测试。

概述

文档

阅读我们的[详细文档]以了解如何使用OSS-Fuzz。

成果

截至2023年8月，OSS-Fuzz已帮助识别并修复了超过[1,000]个项目中的[10,000]个漏洞和[36,000]个错误。

博客文章

• 2023-08-16 - [AI驱动的模糊测试：突破漏洞发现的障碍]
• 2023-02-01 - [迈出下一步：2023年的OSS-Fuzz]
• 2022-09-08 - [超越内存损坏的模糊测试：自动发现更广泛类别的漏洞]
• 2021-12-16 - [改进OSS-Fuzz和Jazzer以捕获Log4Shell]
• 2021-03-10 - [在OSS-Fuzz中对Java进行模糊测试]
• 2020-12-07 - [在Google暑期实习计划中改善开源软件安全性]
• 2020-10-09 - [开源软件的模糊测试实习]
• 2018-11-06 - [OSS-Fuzz的新篇章]
• 2017-05-08 - [OSS-Fuzz：五个月后，奖励项目]
• 2016-12-01 - [宣布OSS-Fuzz：开源软件的持续模糊测试]