Information Security
Open source
IT systems testing
*nix
C
Comments 11
0
Очень интересно почитать, но было бы вообще идеально, если сделать полномасштабную проверку всей кодовой базы GNU/Linux. Уверен, что там еще много проблем найдется.
+1

Правда, боюсь, проблематично "успешно пройти" проверку фаззингом — её, скорее, можно "не завалить" за определённое время под определённым типом тестовых данных. Это же не формальное доказательство.

+2

Google ведет постоянный фаззинг многих open-source проектов: https://github.com/google/oss-fuzz
Вот тут список найденных багов: https://bugs.chromium.org/p/oss-fuzz/issues/list
Более того, они приглашают все открытые проекты присоединяться, и Гугл будет автоматически их проверять. https://security.googleblog.com/2018/11/a-new-chapter-for-oss-fuzz.html

0
Напереводили… «проверяет наличие основных дампов» — скорее имелось в виду «проверяет наличие файлов core».
+3
Странная подборка утилит с багами. Ни одну из них я не использую. Я верю, что где-то там лежит давно забытый бинарь, делающий Что-то-странное в котором баг. Но зачем?

ul у меня в системе есть, но он приехал из комплекта bsdmainutils по зависимости от quilt.

Command 'spell' not found
/usr/bin/f77 вообще симлинк от update-alternatives и у меня указывает на /usr/bin/gfortran, который приехал как зависимость от pitivi, который… зачем я его ставил? O_o
+1
Спасибо за перевод, интересная статья. Аж захотелось самому поиграться с фаззерами в используемом открытом софте и отправить парочку баг-репортов (:

Ждём продолжение.
0
Любопытно.
А знает кто-нибудь фаззер, который генерирует JSON, желательно еще «примерно» в рамках заданной схемы?
Only those users with full accounts are able to leave comments. , please.