谷歌开源的ClusterFuzz工具在Chrome中发现了16000个漏洞错误

2019年02月11日 由 童童 发表 177204 0


2018年8月,谷歌收购了GraphicsFuzz。一家专注于移动图形基准测试工具的公司,其中一些工具曾被用于发现三星Galaxy S6和S9等手机的漏洞。微软两年前推出了Project Springfield,这是一个基于云计算的模糊测试服务,用于发现软件中关键的安全漏洞。

[caption id="attachment_36508" align="alignnone" width="578"] 图片来源:Paul Sawers / VentureBeat[/caption]

Google拥有开源的模糊测试工具ClusterFuzz,这是一款自动化漏洞搜索工具,指的是一种错误检测技术。它在Chrome中发现了大约16000个漏洞。该模糊测试工具擅长用于发现内存损坏bug或代码错误,从而定制安全补丁。

截止之前,只有Google工程师和选择的开源项目才能够使用ClusterFuzz。而如今,Google已经宣布,现在任何软件开发人员都可以使用自动漏洞猎手。

谷歌已经将ClusterFuzz与OSS-Fuzz结合使用,OSS-Fuzz是两年前开源的另一种模糊测试工具。OSS-Fuzz和ClusterFuzz共同在160个开源项目中发现了1.1万个漏洞。与此同时,ClusterFuzz在Chrome中发现了16000个漏洞,帮助Google修补了超过10亿人使用的浏览器。

“我们开发了ClusterFuzz超过八年,以便无缝地融入开发人员的工作流程,并使得查找错误和修复它们变得非常简单,它是Chrome和许多其他开源项目开发过程中不可或缺的一部分。”谷歌的ClusterFuzz团队表示。

Google的ClusterFuzz实例运行在Google云平台上的25,000多台计算机上,依赖于Google的云存储,数据库,监控和数据仓库技术。

几年来,重要的开源项目已经可以申请加入OSS-Fuzz计划,并接收Google的错误报告。只是针对具有大量用户群或者在全球IT基础架构中发挥关键作用的软件项目才能加入。
欢迎关注ATYUN官方公众号
商务合作及内容投稿请联系邮箱:bd@atyun.com
评论 登录
写评论取消
回复取消