Google 开源 Atheris，用于 Python 代码安全扫描

2020年12月4日，Google 发布了一款开源代码安全扫描工具 Atheris Python Fuzzer。

模糊测试是一种软件测试技术。其核心思想是将自动或半自动生成的随机数据输入到一个程序中，并监视程序异常，如崩溃，断言失败，以发现可能的程序错误，比如内存泄漏。模糊测试常常用于检测软件或计算机系统的安全漏洞。Google 使用此技术发现了数千个安全漏洞和其他错误。传统上的模糊处理是在 C 或 C ++ 等本地语言上使用的。去年，Google 构建了一个新的 Python 模糊处理引擎。12月4日，Google 终于将 Atheris 模糊引擎作为开源发布。

 Atheris 能做什么？

Atheris 可用于自动查找 Python 代码和本机扩展中的错误。 Atheris 是一个“覆盖率导向”的模糊器，这意味着 Atheris 将在观察程序如何执行的同时反复尝试对程序的各种输入，并尝试找到有趣的代码执行路径。

Atheris 支持的版本？

Atheris 于去年10月在 Google 内部进行开发，并支持以 Python 2.7 和 Python 3.3+ 编写的 Python 代码和使用 CPython 创建的本机扩展。但在最新的声明中，Google 强烈建议使用 Python 3.8+，因为它可以提供更好的覆盖率信息。在对本机扩展进行模糊处理时，可以将 Atheris 与 Address Sanitizer 或 Undefined Behavior Sanitizer 结合使用。

怎样安装 Atheris？

Atheris 已经在 Github 上发布开源。Atheris 支持 Linux (32- and 64-bit) and Mac OS X。

如果您已安装最新版的 Python 和 clang，可以直接使用 pip3 命令安装。