2020年12月4日,Google 发布了一款开源代码安全扫描工具 Atheris Python Fuzzer。
模糊测试是一种软件测试技术。其核心思想是将自动或半自动生成的随机数据输入到一个程序中,并监视程序异常,如崩溃,断言失败,以发现可能的程序错误,比如内存泄漏。模糊测试常常用于检测软件或计算机系统的安全漏洞。Google 使用此技术发现了数千个安全漏洞和其他错误。传统上的模糊处理是在 C 或 C ++ 等本地语言上使用的。去年,Google 构建了一个新的 Python 模糊处理引擎。12月4日,Google 终于将 Atheris 模糊引擎作为开源软件发布。
Atheris 能做什么?
Atheris 可用于自动查找 Python 代码和本机扩展中的错误。 Atheris 是一个“覆盖率导向”的模糊器,这意味着 Atheris 将在观察程序如何执行的同时反复尝试对程序的各种输入,并尝试找到有趣的代码执行路径。Atheris 支持的版本?
Atheris 于去年10月在 Google 内部进行开发,并支持以 Python 2.7 和 Python 3.3+ 编写的 Python 代码和使用 CPython 创建的本机扩展。但在最新的声明中,Google 强烈建议使用 Python 3.8+,因为它可以提供更好的覆盖率信息。在对本机扩展进行模糊处理时,可以将 Atheris 与 Address Sanitizer 或 Undefined Behavior Sanitizer 结合使用。怎样安装 Atheris?
Atheris 已经在 Github 上发布开源。Atheris 支持 Linux (32- and 64-bit) and Mac OS X。
如果您已安装最新版的 Python 和 clang,可以直接使用 pip3 命令安装。
