谷歌開源 Python 代碼漏洞查找工具 Atheris

谷歌安全專家又開源了另外一款自動化模糊測試工具，希望開發(fā)人員能夠使用該工具在漏洞遭利用前，找到并修復(fù)漏洞。這款工具名為“Atheris”，是一款典型的模糊測試工具。

模糊測試工具和模糊測試技術(shù)的工作原理是，為軟件應(yīng)用提供大量隨機數(shù)據(jù)并分析關(guān)于異常和崩潰情況的輸出，從而使得開發(fā)人員能夠了解某款應(yīng)用代碼中很可能存在的漏洞及其所處位置。

多年來，谷歌安全研究員一直都在不遺余力地推廣使用模糊測試工具，不僅用于發(fā)現(xiàn)普通漏洞，而且還發(fā)現(xiàn)可被攻擊者利用的危險漏洞。

自2013年以來，谷歌安全研究員就已經(jīng)創(chuàng)建并開源了多款模糊測試工具，如 OSS-Fuzz、Syzkaller、ClusterFuzz、Fuzzilli 和 BrokenType。不過這些工具都是為了發(fā)現(xiàn) C 或 C++ 應(yīng)用程序中的漏洞。

專為 Python 代碼庫而創(chuàng)建

Atheris 是谷歌為應(yīng)對日益流行的 Python 編程語言而設(shè)置的。上個月，Python 在 TIOBE 索引的排名為第3名。

Atheris 是谷歌在去年10月份舉行的一次內(nèi)部黑客馬拉松活動上開發(fā)的，支持通過 Python 2.7 和 Python 3.3+ 版本編寫的代碼，同時支持通過 CPython 創(chuàng)建的原生擴展。

然而，谷歌表示使用 Atheris 的最佳代碼是使用Python 3.8及后續(xù)版本編寫的代碼。這些 Python 版本中的新增功能有助于 Atheris 找到更多的漏洞。

谷歌表示，未來計劃在 OSS-Fuzz 上增加對 Atheris 模糊測試的支持。此前，OSS-Fuzz 僅支持 C 和 C++ 模糊測試且極其成功，多年來找到了數(shù)千個漏洞。截止到2020年6月，OSS-Fuzz 已經(jīng)在300個開源項目中找到了2萬多個漏洞。

Atheris 現(xiàn)已在 GitHub 上開源，同時可從Python 數(shù)據(jù)包庫 PyPI 中獲取，地址如下：