僅在微軟宣布提供Springfield編碼模糊測(cè)試服務(wù)兩個(gè)月后，谷歌也發(fā)布了他們自己的面向?qū)ο蟠鎯?chǔ)模糊測(cè)試，OSS-Fuzz的測(cè)試版。這兩個(gè)項(xiàng)目的目的都是為了幫助開發(fā)者鎖定導(dǎo)致入侵的程序錯(cuò)誤，但是項(xiàng)目本身就像這兩家公司的商業(yè)模式一樣，大相徑庭。一個(gè)需要付費(fèi)另一個(gè)則是免費(fèi)，一個(gè)擁有專利保護(hù)另一個(gè)則是開源的。

谷歌的OSS-Fuzz能夠針對(duì)開源軟件進(jìn)行持續(xù)的模糊測(cè)試，其測(cè)試開發(fā)團(tuán)隊(duì)昨天的博客中寫到“OSS-Fuzz的目的是利用更新的模糊測(cè)試技術(shù)與可拓展的分布式執(zhí)行相結(jié)合，提高一般軟件基礎(chǔ)架構(gòu)的安全性與穩(wěn)定性。OSS-Fuzz結(jié)合了多種模糊測(cè)試技術(shù)/漏洞捕捉技術(shù)(即原來的libfuzzer)與清洗技術(shù)(即原來的AddressSanitizer)，并且通過ClusterFuzz為大規(guī)模可分布式執(zhí)行提供了測(cè)試環(huán)境。”

這項(xiàng)服務(wù)填補(bǔ)了Springfield留下的空白：微軟的模糊測(cè)試服務(wù)針對(duì)的是愿意付費(fèi)的企業(yè)客戶。雖然并沒有排除開源開發(fā)者，但值得注意的是它明確將企業(yè)客戶作為目標(biāo)：適合測(cè)試內(nèi)部軟件、通過企業(yè)并購(gòu)獲得的軟件、甚至是購(gòu)買的第三方軟件。

谷歌提到“開源軟件是很多應(yīng)用、站點(diǎn)、服務(wù)以及萬(wàn)物互聯(lián)的物聯(lián)網(wǎng)的骨干中樞...一個(gè)例子是FreeType library，一個(gè)在十億以上設(shè)備上使用，用來轉(zhuǎn)換字體的庫(kù)(也許你正在看的這些文字也是由它轉(zhuǎn)換呈現(xiàn)的)。”對(duì)于這種軟件來說，沒有程序問題并且安全是很重要的。“最近FreeType的漏洞捕捉器在源代碼變化后的幾小時(shí)內(nèi)就找到了新的堆緩沖區(qū)。”

此服務(wù)“持續(xù)性”的特點(diǎn)還能解決另一個(gè)問題：開源軟件會(huì)有大量不同維護(hù)人員不斷地更新、變化。Google表示，“OSS-Fuzz可以自動(dòng)提醒維護(hù)人員，誰(shuí)修復(fù)了程序錯(cuò)誤，并且還能自動(dòng)確認(rèn)這個(gè)修復(fù)。一切都在一天內(nèi)完成!”

并沒有跡象表明谷歌和微軟的服務(wù)哪個(gè)更好---他們?yōu)榱瞬煌哪康牟扇〔煌侄巍D Moore，Metasploit與Special Circumstance有限責(zé)任公司的創(chuàng)始人表示，“OSS-Fuzz的成就，可以同開源中的Coverity工具相提并論;通過應(yīng)用商業(yè)化資源去提高那些重要的開源軟件與庫(kù)的安全性。”

“Springfield會(huì)有些不同，”他繼續(xù)說，“它的重點(diǎn)是對(duì)所有付費(fèi)的開發(fā)者提供服務(wù)而不僅是開源的那些。谷歌作為一個(gè)因其員工對(duì)開源工具(例如AFL等)的耕耘而在此領(lǐng)域做出杰出貢獻(xiàn)的公司，在這方面的成就似乎與其保持了一致。”

目前，谷歌測(cè)試版只對(duì)有大量用戶群或者對(duì)全球IT基礎(chǔ)架構(gòu)至關(guān)重要的開源軟件提供服務(wù)。這暗示著，盡管沒有直截了當(dāng)?shù)卣f明，這一切仍會(huì)變化。“通過你的幫助，我們可以將模糊測(cè)試作為開源發(fā)展中的一個(gè)標(biāo)準(zhǔn)規(guī)范，并和廣大開發(fā)者、安全測(cè)試人員一道，確保那些重要開源應(yīng)用、庫(kù)以及API中的程序錯(cuò)誤都能被發(fā)現(xiàn)和修復(fù)。”

Robin Wood是一位獨(dú)立的滲透測(cè)試人員與安全工具開發(fā)者。他不是很確定OSS-Fuzz最終能對(duì)所有人開放。“谷歌的工具似乎對(duì)能使用它的人群來說仍有一定限制;谷歌要求這個(gè)項(xiàng)目要么有龐大用戶群要么對(duì)全球IT至關(guān)重要，然而微軟的工具可以任何人使用但要收你的錢，”他對(duì)SecurityWeek表示，“我能理解谷歌只是想限制他所承擔(dān)的費(fèi)用;所以這不算是在批評(píng)他們。”

然而他非常確信，谷歌走在正確的路上。“微軟工具使用它們內(nèi)部打造出來的軟件然而谷歌工具用的是外部框架并且能拓展應(yīng)用更加多樣化且不同的工具;這就能變得更加靈活。盡管想要做到一致，但任何工具自己的特性都會(huì)使其在某些領(lǐng)域做的更好些，而另一些領(lǐng)域則差些。”

Moore還認(rèn)為，OSS-Fuzz“能夠大大支持開源社區(qū)的發(fā)展并遠(yuǎn)超過其他公司在這個(gè)領(lǐng)域所做的努力。”

Wood覺得Springfield和OSS-Fuzz都不錯(cuò)，“當(dāng)服務(wù)與產(chǎn)品狀態(tài)穩(wěn)定時(shí)將這兩個(gè)對(duì)比做一個(gè)fuzz-off的測(cè)試結(jié)果看看他們各自找到什么應(yīng)該會(huì)很有趣。但是無論任何哪個(gè)工具最后成為‘更好的’那一個(gè)，如果我有機(jī)會(huì)，為了確保萬(wàn)無一失我想這兩個(gè)我都會(huì)嘗試一下。”

【本文是51CTO專欄作者李少鵬的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】