搜索

pdf文档 Dapr june 2023 fuzzing audit report

690.59 KB 19 页 0 下载 293 浏览 0 评论 0 收藏
语言 格式 评分
英语
.pdf
3
摘要
This report details a fuzzing audit conducted by Ada Logics for the Dapr project under the CNCF. The audit involved creating a fuzzing suite for Dapr, integrating it with OSS-Fuzz, and developing 39 fuzzers to test three sub-projects: Dapr Runtime, Dapr Kit, and Components-Contrib. The fuzzers identified three issues, including two related to third-party libraries, all of which were resolved. The report highlights the importance of continuous fuzzing for ensuring software security and outlines future plans to expand fuzzing coverage and improve project maintainability.
AI总结
### 总结 #### 1. CNCF 安全与模糊测试概述 - CNCF(云原生计算基金会)一直致力于通过安全审核、模糊测试和软件供应链安全来保障其生态系统的安全性。 - 模糊测试是一种 proven 的技术,用于发现软件中的安全和可靠性问题。通过模糊测试,CNCF 已经发现了超过 350 个问题,并帮助修复了这些问题。 - CNCF 的模糊测试工作主要通过开源项目 **OSS-Fuzz** 实现,目前已有超过 20 个项目集成了模糊测试。 - 未来的工作重点包括:将模糊测试整合到更多项目中、提升维护的可持续性、增加维护者的参与度,以及在内存安全语言中发现更多漏洞。 #### 2. Dapr 模糊测试审核 - 本次审核由 Ada Logics 执行,目标是为 Dapr 构建模糊测试套件,并持续改进其模糊测试能力。 - 在审核期间,Dapr 之前没有任何模糊测试,Ada Logics 开发了 **39 个模糊测试器**,覆盖了 Dapr 的三个子项目:Dapr Runtime、Dapr Kit 和 Components-Contrib。 - 模糊测试器已成功集成到 Dapr 的 OSS-Fuzz 系统中,持续运行并报告潜在问题。 #### 3. 审核结果 - 模糊测试发现了 **3 个问题**: - 1 个索引越界问题(out-of-range index)。 - 2 个由第三方库引发的 panic 问题(Go 标准库)。 - 所有发现的问题均已修复。 #### 4. 运行时统计 - 模糊测试器的运行次数和 CPU 小时数显示了测试的深度和广度。部分模糊测试器由于集成时间较晚,运行次数和时间较少,但随着 OSS-Fuzz 的持续运行,这些测试器的覆盖范围将逐步提升。 #### 5. 未来计划 - Dapr 和 CNCF 计划进一步优化模糊测试能力,包括: - 将模糊测试扩展到更多项目。 - 提升模糊测试器的维护和可持续性。 - 鼓励更多维护者参与模糊测试工作。 #### 6. 附录 - 详细列出了 39 个模糊测试器及其覆盖的 Dapr 模块。 - 提供了模糊测试架构和流程的概述,包括如何集成、运行和修复发现的问题。 ### 总结 本次 Dapr 模糊测试审核通过开发 39 个模糊测试器,成功发现了 3 个问题并完成修复,证明了模糊测试在保障软件安全性方面的有效性。CNCF 和 Dapr 团队将继续加强模糊测试能力,提升生态系统的整体安全性。
P1
P2
P3
P4
P5
P6
P7
下载文档到本地,方便使用
- 可预览页数已用完,剩余 12 页请下载阅读 -
文档评分
请文明评论,理性发言.