Google推出了可用於評估模糊測試器(Fuzzer)的開源免費服務FuzzBench,FuzzBench提供用戶方便但嚴格的模糊測試,並降低採用模糊測試的障礙。模糊測試是一種軟體測試技術,透過自動或半自動產生輸入另一個程式的亂資料,以探索程式可能出現的異常狀況,Google提到,他們內部使用了libFuzzer和AFL等各式Fuzzer,發現了數以萬計的臭蟲。

雖然有許多論文改進模糊測試工具,或是部署新技術來提升Fuzzer發現臭蟲的能力,但Google表示,很難知道這些新工具和技術,在實際程式中的使用狀況,儘管研究通常包含了評估的部分,但是這些評估都使用短期試驗或是缺乏統計測試,在沒有應用大量且多樣的真實世界基準的情況下,將難以證明評估的發現具有意義。

為了解決這個問題,開源軟體專用的模糊測試專案OSS-Fuzz團隊推出了FuzzBench,這是一個完全免費的開源服務,FuzzBench提供了可以重複評估Fuzzer的框架。用戶只要整合Fuzzer和FuzzBench,便可以開始以真實世界的基準和各種試驗,進行24小時的實驗。

FuzzBench會根據實驗的資料,深入分析Fuzzer並產生報告,將目標Fuzzer與其他Fuzzer效能進行比較,給出每個Fuzzer的強項與弱項。FuzzBench給出的報告,包括了統計測試,讓用戶了解Fuzzer之間的效能差異,或許是因為偶然因素造成,而且也會提供用戶原始資料,使他們能夠進行自己的分析。

Google表示,用戶可以花更多的時間在改善技術上,而非將時間花在評估和處理現有的模糊測試技術,且整合Fuzzer與FuzzBench的過程很簡單,大多數整合僅需要少於50行的程式碼,在整合完成之後,就可以使用250多個OSS-Fuzz專案進行模糊測試。

熱門新聞

Advertisement