聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

谷歌安全专家又开源了另外一款自动化模糊测试工具,希望开发人员能够使用该工具在漏洞遭利用前,找到并修复漏洞。这款工具名为“Atheris”,是一款典型的模糊测试工具。

模糊测试工具和模糊测试技术的工作原理是,为软件应用提供大量随机数据并分析关于异常和崩溃情况的输出,从而使得开发人员能够了解某款应用代码中很可能存在的漏洞及其所处位置。

多年来,谷歌安全研究员一直都在不遗余力地推广使用模糊测试工具,不仅用于发现普通漏洞,而且还发现可被攻击者利用的危险漏洞。

自2013年以来,谷歌安全研究员就已经创建并开源了多款模糊测试工具,如 OSS-Fuzz、Syzkaller、ClusterFuzz、Fuzzilli 和 BrokenType。不过这些工具都是为了发现 C 或 C++ 应用程序中的漏洞。

专为 Python 代码库而创建

Atheris 是谷歌为应对日益流行的 Python 编程语言而设置的。上个月,Python 在 TIOBE 索引的排名为第3名。

Atheris 是谷歌在去年10月份举行的一次内部黑客马拉松活动上开发的,支持通过 Python 2.7 和 Python 3.3+ 版本编写的代码,同时支持通过 CPython 创建的原生扩展。

然而,谷歌表示使用 Atheris 的最佳代码是使用Python 3.8及后续版本编写的代码。这些 Python 版本中的新增功能有助于 Atheris 找到更多的漏洞。

谷歌表示,未来计划在 OSS-Fuzz 上增加对 Atheris 模糊测试的支持。此前,OSS-Fuzz 仅支持 C 和 C++ 模糊测试且极其成功,多年来找到了数千个漏洞。截止到2020年6月,OSS-Fuzz 已经在300个开源项目中找到了2万多个漏洞。

Atheris 现已在 GitHub 上开源,同时可从Python 数据包库 PyPI 中获取,地址如下:

  • https://github.com/google/atheris

  • https://pypi.org/project/atheris/

推荐阅读

谷歌开源漏洞扫描器“海啸”,专为大型企业服务

微软开源用于大规模查找并修复漏洞的开发者工具 Project OneFuzz 框架

Facebook 开源 Instagram 的Python 代码静态安全分析工具 Pysa

原文链接

https://www.zdnet.com/article/google-open-sources-atheris-a-tool-for-finding-security-bugs-in-python-code/

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

谷歌开源 Python 代码漏洞查找工具 Atheris相关推荐

  1. 谷歌开源文件访问漏洞审计工具 PathAuditor(详解)

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周一,谷歌宣布开放 PathAuditor 工具的源代码,帮助开发人员找到和文件访问相关的漏洞,不过它并非受谷歌官方支持的产品. 谷 ...

  2. Metasploit是一款开源的安全漏洞检测工具,

    Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,适合于需要核实漏洞的安全专家,同时也适合于强大进攻能力的 ...

  3. python代码安全扫描工具

    python代码安全扫描工具:Coverity. Fortify.SecMissile(漏扫,对源代码提供基于语义的搜索和分析能力,实现已知安全漏洞的快速扫描) 转载于:https://www.cnb ...

  4. 帮写python代码_10个工具,帮你写出更好的Python代码

    我每天都使用这些实用程序来使我的Python代码可显示. 它们是免费且易于使用的. 编写漂亮的Python比看起来难. 作为发布工作流程的一部分,我使用以下工具使代码可显示并消除可避免的错误. 1. ...

  5. 推荐一款免费开源的代码质量分析工具

    文章目录 一.简介 二.环境安装 三.使用说明 四.其他报错 UnicodeDecodeError: 'ascii' codec can't decode byte 0xe6 in position ...

  6. 谷歌开源 ClusterFuzz,自动化查找并修复 bug

    开发四年只会写业务代码,分布式高并发都不会还做程序员? >>>   近日,谷歌开源了一个模糊测试基础设施--ClusterFuzz,可以非常简单地自动化查找并修复程序中的 bug. ...

  7. Wapiti一款小巧的开源安全测试漏洞检测工具

    Wapiti 是一套 OpenSource 的站点漏洞检测工具,比较特殊的是,它并不依赖特征数据库,也因此扫描的速度相当快,而探测的则是一些共通性问题,或是作者所宣称的未知漏洞.Wapiti 其实是一 ...

  8. python代码风格检查工具──pylint

    pylint是一个python代码检查工具,可以帮助python程序员方便地检查程序代码的语法和风格,通过这个工具,可以使你的python代码尽量保持完美,哈哈. 具体可以检查什么东西呢? 比如你写了 ...

  9. Python代码质量:工具和最佳实践

    In this article, we'll identify high-quality Python code and show you how to improve the quality of ...

最新文章

  1. MPB:北大口腔陈峰、陈智滨等-口腔常见微生物的培养方法
  2. 来认识世界上第一支AI基金:模仿股票分析师 365天无间断工作
  3. 架构师之路 — 分布式系统 — CAP 定理
  4. linux执行某个目录的程序
  5. 【转】胶片曝光时的排版!!!!!!!
  6. 关于浏览器前进键和后退键样样式表冲突的问题
  7. ITIL基础概述与实战案例分析(下)
  8. java date 时分秒_java Date 获得时分秒代码
  9. T-SQL select语句连接两个表
  10. python读取文本中的内容
  11. 经过 180 年的训练,OpenAI 在 DOTA 2 上完虐人类!
  12. Debian 9.6.0 + OpenMediaVault 4.x : 实机安装前的虚拟机试验
  13. Android 项目中丁点经验总结
  14. java.util.ConcurrentModificationException的解决办法
  15. 572.另一个树的子树(力扣leetcode) 博主可答疑该问题
  16. 固态硬盘计算机怎么自定义分区,固态硬盘分区,详细教您固态硬盘怎么分区
  17. scala 转换、过滤、分组、排序
  18. vs code无法输入汉语
  19. 如何解决WIN10环境下 Raid 模拟器遇到乱码问题
  20. java生成word文档 图片_java生成带有图片的word的文档-Go语言中文社区

热门文章

  1. Hyper-V 3.0网络虚拟化PART 4:私有交换机
  2. Shell十三问总结
  3. perl 的 localtime、timelocal、strftime关于时间的函数
  4. --num 与 num-- 的区别
  5. ALERT日志中常见监听错误:ORA-3136错误的排查
  6. 迎春舞会之三人组舞 vijos1061 动态规划
  7. 从阿姆斯特丹建设智能交通能得到什么经验?
  8. cocos2dx 云彩特效
  9. H3C 路由器 与 CISCO 路由器在配置上的差别
  10. 易语言mysql清空一个表_易语言高级表格清空.doc