OSS-Fuzz 能够针对开源软件进行持续的模糊测试,它的目的是利用更新的模糊测试技术与可拓展的分布式执行相结合,提高一般软件基础架构的安全性与稳定性。OSS-Fuzz 结合了多种模糊测试技术/漏洞捕捉技术(即原来的libfuzzer)与清洗技术(即原来的 AddressSanitizer),并且通过 ClusterFuzz 为大规模可分布式执行提供了测试环境。
以下过程用于 OSS-Fuzz 中的项目:
开源项目或外部志愿者的维护者创建一个或多个模糊目标,并将它们与项目的构建和测试系统集成。
该项目被 OSS-Fuzz 接受。
当 ClusterFuzz 发现错误时,OSS-Fuzz 问题跟踪器中会自动报告问题(示例)。 (为什么有不同的跟踪?)。 项目所有者对错误报告负责。
Bug 修复。
ClusterFuzz自动验证修复,添加注释并关闭问题(示例)。
问题会公开(指南)