谷歌自动化测试机器人过去两年查出9000处错误
谷歌表示,该公司的自动化测试机器人OSS-Fuzz,在过去两年中已经识别并报告了广泛使用的开源项目中的9,000多个漏洞。
OSS-Fuzz于2016年12月推出,是Google开发的一款自动化工具,可通过称为模糊测试的技术查找应用程序中的漏洞。
模糊测试技术的工作原理是通过向软件应用程序提供大量随机数据并分析其输出异常和崩溃 。这反过来又为开发人员提供了关于存在可能错误的应用程序代码。
模糊测试已经存在了几十年,但是模糊器近年来才被广泛采用,谷歌一直是推动编码人员和安全研究人员采用这种公用事业和技术的主要公司之一。
Google近年来开放了几款模糊测试,比如2007年的Flayer。但到目前为止,它最大的项目是2016年12月推出的OSS-Fuzz 。
OSS-Fuzz作为一个开源工具发布,任何人都可以从GitHub下载并检测它们自己的代码。
OSS-Fuzz“服务”将识别参与项目中的错误,Google安全工程师将审查发现的漏洞,然后根据调查结果提交错误报告。
此外,Google还将OSS-Fuzz基于云的服务与其“错误修补”奖励计划集成在一起,这意味着Google还将为其工程师通过OSS-Fuzz平台识别和报告的错误支付开源项目奖励。
参与的开源项目有资格获得每个修补bug的500美元到20,000美元,但是他们还获得了修改代码以在更深层次上与OSS-Fuzz集成的奖励。
在今天的博客文章中,Google提供了OSS-Fuzz项目的状态更新。首先,OSS-Fuzz基于云的服务已经进行了一些更新,现在比以前更加自动化,对人类审阅者的依赖越来越少。
进入OSS-Fuzz云服务的新项目也有资格获得Google的补丁奖励计划,这意味着一些项目维护者可能非常乐意接收Google的OSS-Fuzz邀请电子邮件,因为它可以为他们提供额外的收入来源。
在8月下旬,谷歌还开放了另一个名为BrokenType的内部模糊测试工具,其中一名工程师曾用它来识别字体显示(光栅化)组件中的数十个漏洞。
您可能也感兴趣:
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。
想在手机上看科技资讯和科技八卦吗?
想第一时间看独家爆料和深度报道吗?
请关注TechWeb官方微信公众帐号:
1.用手机扫左侧二维码;
2.在添加朋友里,搜索关注TechWeb。
为您推荐
恒大汽车 2023 年净亏损 119.95 亿元,努力改善经营状况
日赚0.82亿 比亚迪2023年净利润300.41亿元,同比大涨80.72%
苹果WWDC 2024将于6月10日举行,或将推出生成式AI技术
苹果A18 Pro芯片细节曝光:采用更大尺寸 以提升AI性能
阿里撤回菜鸟上市申请 拟37.5亿美元收购菜鸟少数股东股权
AI造富能力一流
飞书开启裁员 全员信称会提供补偿方案或转岗机会
消息称小红书2023年首次实现盈利 但IPO前景仍不明朗
更多
- 全球生成式人工智能领域去年或有近700笔投资交易 总额291亿美元
- 华尔街预计特斯拉Q1交付47.1万辆电动汽车 但也有分析师预计低于43万辆
- 苹果WWDC24还有望推出Mac Studio 但Mac Pro可能要下半年
- 亚马逊再向AI初创公司Anthropic投资27.5亿美元 兑现40亿美元投资承诺
- 消息称苹果在测试一款新Apple Pencil 有望用于Vision Pro
- 现代汽车计划到2030年将电动汽车增至31款 韩国年产能增至151万辆
- 消息称苹果没有在iOS 18等新一代系统中引入自研AI聊天机器人计划
- 被美国司法部起诉垄断后 苹果在美国又面临至少3起集体反垄断诉讼
- 航拍显示特斯拉上海储能工厂准备动工 厂区内已有施工设备
- 消息称苹果不会在今晚宣布新iPad Air和iPad Pro 还得再等等