GoFuzz 使用指南

最新推荐文章于 2024-08-07 10:04:13 发布
原创 最新推荐文章于 2024-08-07 10:04:13 发布 · 552 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

GoFuzz 使用指南

gofuzzFuzz testing for go.项目地址:https://gitcode.com/gh_mirrors/go/gofuzz

项目介绍

GoFuzz 是一个专为 Go 语言设计的模糊测试工具,旨在增强你的 Go 代码中的bug检测能力。通过源码转换,它在你感兴趣的函数或方法调用处插入由 github.com/CodeIntelligenceTesting/gofuzz/sanitizers 模块提供的钩子(hooks),从而在不修改原始代码的情况下生成仪器化代码。GoFuzz 自 Go 1.18 起便支持原生的模糊测试特性,简化了开发者对代码质量的保障过程。

项目快速启动

环境准备

确保你的开发环境已安装 Go 1.18 或更高版本。

安装 GoFuzz 工具

首先,你需要安装 GoFuzz 的命令行界面(CLI)工具:

go install github.com/CodeIntelligenceTesting/gofuzz/cmd/gofuzz@latest

添加依赖

然后,为你的项目添加 sanitizers 包作为依赖,以便于在编译时能够找到插入的钩子:

cd <你的项目目录>
go get -u github.com/CodeIntelligenceTesting/gofuzz/sanitizers@latest

代码仪器化

假设你要为你的项目中的某个包进行模糊测试,使用 gofuzz sanitize 命令进行代码仪器化:

gofuzz sanitize <目标包名> -o <输出的覆盖文件.json>

接下来,你可以基于生成的覆盖文件进行测试编写。

应用案例和最佳实践

示例:基本模糊测试

以测试一个接受整数参数的函数为例,你需要构建一个模糊测试函数:

// 假设有一个待测函数
func MyFunc(i int) {}

// +build gofuzz
package main // 注意:实际应替换为你的真实包名

import (
    "github.com/google/gofuzz"
)

// Fuzz 测试函数
func Fuzz(data []byte) int {
    var i int
    fuzz.NewFromGoFuzz(data).Fuzz(&i)
    MyFunc(i)
    return 0 // 返回值表明是否继续运行该测试实例
}

此模式下,GoFuzz会自动将输入数据转换成适合测试的类型并调用你的测试函数。

最佳实践

  • 隔离测试环境:确保模糊测试不会影响到生产环境。
  • 持续集成:将模糊测试纳入CI流程,确保每次提交都会执行这些测试。
  • 监控资源消耗:模糊测试可能会产生大量的测试用例,需监控内存和CPU使用,防止资源耗尽。

典型生态项目

虽然直接提及的“典型生态项目”不多,但GoFuzz与Go语言的标准库和模糊测试框架紧密相连。例如,OSS-Fuzz是广泛采用的,支持Go语言的持续模糊测试平台,它利用Go 1.18及之后版本的原生模糊测试支持来帮助发现开源软件中的潜在缺陷。

本指南提供了一个关于如何开始使用GoFuzz的基本框架,通过遵循上述步骤,你可以有效地为Go项目引入模糊测试,提高代码的质量和稳定性。记得深入阅读官方文档和示例,以进一步深化理解和实践。

gofuzzFuzz testing for go.项目地址:https://gitcode.com/gh_mirrors/go/gofuzz

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

官方教程:Go fuzzing模糊测试
perfume
02-27 2214
Go 1.18在go工具链里引入了fuzzing模糊测试,可以发现Go代码里的漏洞或者bug,非常强大,学习起来
GoFuzz自定义语料输入流程 记录
竹林深处小茶馆
08-22 443
背景 在使用gofuzz的过程中,发现自己输入的corpus好像没有被执行。 遂审计一下代码,追踪一下输入的corpus的处理流程。 正文 在一次测试过程中,我输入的初始语料如下 {"Name":"AjWwhT","Symbol":"HctcuA","TotalSupply":100} 但进化出的可崩溃语料却是这些 ":" "{\"\"1" "{1" "{:" "\"\"," "\"\":" "
Go-gofuzz-一个库实现利用随机值填充Go对象
08-13
gofuzz - 一个库实现利用随机值填充Go对象
go-fuzz: randomized testing for Go
m0_38110128的博客
01-09 1164
Go-fuzz是一个覆盖引导的测试Go包的fuzzing解决方案。Fuzzing主要适用于解析复杂输入(文本和二进制)的包,尤其适用于解析潜在恶意用户输入(例如通过网络接受的任何内容)的系统的强化。 注意:go-fuzz最近增加了对fuzzing go模块的初步支持。有关详细信息,请参阅下面的部分。如果您遇到模块问题,请提交详细信息问题。解决方法可能是通过export GO111MODULE=of...
Go Fuzzing:发现你未曾发现的漏洞
成长之路
04-24 1100
Go fuzzing正式成为Go的“一等公民”,Go原生支持Fuzzing。我们可以利用fuzzing发现bug和安全问题。
gofuzz:gofuzzGo 的度量和语音(模糊字符串匹配)算法的集合。 (例如 DiceSorensen、Hamming、Jaccard、Jaro、Jaro-Winkler、Levenshtein、Metaphone、N-Gram、NYSIIS、Overlap、RatcliffObershelp、Refined NYSIIS、Refined Soundex、Soundex、Weighted Levenshtein)
06-12
去模糊 模糊字符串匹配算法实现 GoFuzzGo 的度量和语音(模糊字符串匹配)算法的集合。 它完全基于 Rocky Madden 为 Scala 编写的。 我没有使用他的很多代码,但我使用了他的所有测试。 如果我能找到时间,最终将在他的库中实现所有字符串度量和语音算法的实现。 该库提供了执行近似字符串匹配、字符串相似性/距离测量、按单词发音索引和类似声音比较的工具。 查看使用情况的最佳方法是查看测试和。 目前实现了以下算法。 JaroWinklerMetric 重叠度量 元音算法 我首先实施了这些,因为我需要它们用于另一个项目。 随着时间的推移,我会添加更多。 如果您的项目需要其中之一,而我尚未实施它,请告诉我,以便我可以给予更高的优先级。 我也在 E​​lixir 中启动了这个相同的库。
Go1.18升级功能 - 模糊测试Fuzz | 从零开始Go语言
阿良的博客
07-15 3475
模糊测试也是Go1.18更新的功能点之一。 自己测试了一下,初步感觉挺好用的。 可以通过模糊测试来进行全自动的测试,不依赖提供的数据集。
gofuzz:进行模糊测试
05-12
gofuzz是一个用于使用随机值填充go对象的库。 这对于测试非常有用: 在所有情况下,您项目的对象是否真的正确地进行了序列化/反序列化? 是否存在格式错误的对象,这会导致您的项目出现紧急情况? 用import ...
gofuzzGo语言对象随机填充与测试工具
8. **如何使用**: 在实际使用gofuzz时,通常会遵循一定的模式,例如定义一个填充函数,然后使用gofuzz提供的函数来填充指定的对象。这个过程可能会涉及到一些自定义的逻辑,来控制数据生成的规则。 9. **安装和集成...
Golang模糊测试实战:利用gofuzz库高效检测序列化/反序列化错误
除了gofuzz之外,Go语言社区还有其他多种测试工具可供选择,例如`testify`、`stretchr`的`testify`包等,它们提供了丰富的测试功能,可以与gofuzz搭配使用,以实现更全面的测试覆盖。对于测试来说,掌握工具的使用...
Gofuzz库:提升Go项目序列化/反序列化测试效果
使用gofuzz进行模糊测试不仅可以提高软件质量,确保数据处理逻辑的正确性,还可以预防潜在的安全风险。在Go语言项目的开发周期中,将模糊测试集成到持续集成/持续部署(CI/CD)流程中,可以持续地发现和修复问题,...
Go fuzzing模糊测试
Bagley Pan的博客
04-25 272
Go fuzzing模糊测试 fuzzing模糊测试在Go1.18中引入。官方文档:Tutorial: Getting started with fuzzing - The Go Programming Language,本文主要以官方文档的fuzzing入门教程为主,精简自认为重要的内容与自己的理解。因此相比官方文档略有简略,有步骤省略请查阅官方文档或参考资料中的翻译版本。 编写待测函数(写一个BUG) 在main.go文件中写入函数内容: func Reverse(s string) string {
go-fuzzGo的随机测试
02-02
go-fuzzGo的随机测试 Go-fuzz是一种覆盖率指导的测试用于测试Go软件包。 模糊测试主要适用于解析复杂输入(文本和二进制)的程序包,对于强化对可能来自潜在恶意用户(例如,通过网络接受的任何内容)的输入进行解析的系统的加固特别有用。 注意: go-fuzz最近增加了对模糊化的初步支持。 有关更多详细信息,请参见以下。 如果您遇到模块问题,请提出详细信息。 一种解决方法是通过export GO111MODULE=off禁用模块。 用法 首先,您需要编写以下形式的测试函数: func Fuzz ( data [] byte ) int 数据是由模糊测试生成的随机输入,请注意在大多数情况下它是无效的。 如果模糊器在随后的模糊处理中应提高给定输入的优先级,则该函数必须返回1(例如,输入在词法上正确且已成功解析); -1(即使提供新的覆盖范围也不能将输入添加到语料库); 否则为0; 其他值保留供将来使用。 Fuzz函数必须位于go-fuzz可以导入的软件包中。 这意味着您要测试的代码不能在包main 。 但是,支持模糊internal软件包。 Fuzz函数的基本形式只是解析
Go-Google开源的ClusterFuzz提供端到端的自动化模糊测试
08-13
Google内部开发和使用了八年之久的ClusterFuzz开源了。ClusterFuzz提供端到端的自动化模糊测试:从错误检测到分类,再到生成错误报告,最后到错误报告的自动关闭。 ClusterFuzz 在Chrome中发现了超过16,000个缺陷,在与OSS-Fuzz集成的160多个开源项目中发现了超过11,000个缺陷。
GoCN酷Go推荐】 ​强大的模糊测试工具 go-fuzz
Go中国
05-17 799
推荐go-fuzz 的背景我们在日常开发中经常会编写测试和对应的测试用例,大家是否常常会有以下疑惑:现有的测试用例是否完全覆盖了各种边界场景?会不会有意料之外的 case?代码测试覆盖率...
Gofuzzing系统的原理分析
Seekload
03-17 414
我是一只可爱的土拨鼠,专注于分享 Go 职场、招聘和求职,解 Gopher 之忧!欢迎关注我。欢迎大家加入Go招聘交流群,来这里找志同道合的小伙伴!跟土拨鼠们一起交流学习。相信模糊测试大家...
探索与发现:Go-fuzz 动态测试工具的无限可能
gitblog_00032的博客
05-11 481
探索与发现:Go-fuzz 动态测试工具的无限可能 go-fuzzRandomized testing for Go项目地址:https://gitcode.com/gh_mirrors/go/go-fuzz 在软件开发中,确保代码的健壮性和安全性至关重要。而Go-fuzz正是一款专为Go语言设计的强大模糊测试工具,它通过随机化输入来检测潜在的程序错误,特别适用于处理复杂输入的包进行深度测试。 ...
探索代码的未知边界:gofuzz库全面解析
最新发布
gitblog_00438的博客
08-07 386
探索代码的未知边界:gofuzz库全面解析 gofuzzFuzz testing for go.项目地址:https://gitcode.com/gh_mirrors/go/gofuzz 在软件开发中,测试是保证代码质量的关键环节。特别是当我们处理复杂的数据结构和逻辑时,能够深入到每一个可能的异常情况是非常重要的。今天,我要向大家推荐一个强大的Go语言测试工具——gofuzz,它能帮助你以随机值...
探索 Google 的 `gofuzz`:高效 Go 语言模糊测试库
gitblog_00079的博客
03-25 571
探索 Google 的 gofuzz:高效 Go 语言模糊测试库 gofuzzFuzz testing for go.项目地址:https://gitcode.com/gh_mirrors/go/gofuzz 在软件开发中,测试是确保代码质量的关键环节。而其中,模糊测试(Fuzz Testing)是一种动态、自动化的漏洞发现方法,通过生成随机输入来发现程序中的错误和不稳定行为。Google ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孔旭澜Renata

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值