Dapr 发布模糊测试报告|Dapr 完成模糊测试审核-世界快资讯

2023-07-04 07:13:56    来源:博客园


【资料图】

Dapr 团队最近在博客上发布了 Dapr 完成模糊测试审核[1]的文章,该审计是 CNCF 通过模糊测试改善[2]开源云原生项目安全状况的计划的一部分。该审计由 Ada Logics[3] 于 2023 年 5 月和 6 月进行的,Ada Logics 团队为了改善 Daprs 安全状况,并且由于创建了大量模糊器,发现的问题数量很少,一共开发了 39个 fuzzer,发现了3个问题,三个问题的数量非常少,这证明了 Dapr 项目编写良好且维护良好的代码库。这也表明了代码库的成熟水平。 审计中的所有模糊器都是开源的,最初被添加到 CNCF 的模糊测试存储库[4]中,团队已经开始将模糊器迁移到Dapr 仓库中[5]来完善Dapr的测试。

该审计为 3 个 Dapr 项目添加了模糊器:Dapr 运行时 (github.com/dapr/dapr)、Dapr 工具包 (github.com/dapr/kit) 和 Components-contrib。Ada Logics通过将Dapr集成到Google的开源项目OSS-Fuzz[6] -中开始了审计,该项目大规模运行关键开源项目的模糊器。在设置初始集成后,Ada Logics 编写了 39 个模糊器并将它们添加到 Daprs OSS-Fuzz 集成中。连续性是强大的模糊测试套件的重要组成部分;在连续运行模糊程序的几个 CPU 年之后,发现了一些错误。Daprs OSS-Fuzz 集成可确保其模糊程序即使在审核完成后也能运行,以继续探索代码库。

Ada Logics为许多复杂且特别公开的端点编写了模糊器,其中一些包括:

Dapr 工具包加密包:密钥解析和序列化。Dapr Runtime HTTP/GRPC 端点。元数据解码在Components-Contrib中广泛使用。Apache Dubbo 序列化。Dapr Sidecar注入器的请求处理Raft日志处理。访问控制

Fuzzing 是一种通用技术,用于自动识别可靠性和安全问题。它通常被安全研究人员用来发现系统中的漏洞,该技术已成功应用于各种 CNCF 项目,如 Kubernetes、Envoy、Helm、Linkerd2-proxy 和 Fluent-bit。fuzzing 的一般方法是使用遗传算法(genetic algorithm)与复杂的程序分析和软件仪器技术相结合,以生成在目标软件中实现高水平代码覆盖的输入。

最后 这里我非常想分享一个案例:昨天我去 中国财产再保险集团 深度体验了 Dapr 在中国的早期Dapr 案例, 我惊奇的发现 Dapr 在他们的环境中已经持续运行了3年多,系统一直很稳定,虽然一定程度上上可以体现出Dapr 的连续性非常好,但是这不是一个鼓励的案例,还一直停留在 0.11.2版本,上个月dapr 已经发布了1.11版本[7]。 现在Dapr 有了更完善的测试,包括模糊测试,我们可以非常放心的对Dapr 进行版本升级。

你已经看到了这里,肯定对Dapr 有兴趣吧,下个周六 7.15 我们有个云原生的社区活动[8]我会分享Dapr 的进一步信息,欢迎报名参会。

相关链接:

[1]Dapr 完成模糊测试审核: https://blog.dapr.io/posts/2023/06/30/dapr-completes-fuzzing-audit/[2]CNCF 通过模糊测试改善计划:https://www.cncf.io/blog/2022/06/28/improving-security-by-fuzzing-the-cncf-landscape/[3]Ada Logics: https://adalogics.com/[4]CNCF 的模糊测试存储库: https://github.com/cncf/cncf-fuzzing[5]将模糊器迁移到Dapr 仓库中:https://github.com/dapr/dapr/pull/6569[6]Google的开源项目OSS-Fuzz:https://github.com/google/oss-fuzz[7]dapr 1.11版本 发布:https://www.cnblogs.com/shanyou/p/17480763.html[8]7 月 15 日,论道深圳|云原生开源项目应用实践专场第三站报名开启: https://mp.weixin.qq.com/s/DOQ9aFxcS6M6_VmKfpQm9Q

关键词:

X 关闭

X 关闭