本文介绍了如何使用OSS-fuzz对一些go项目进行模糊测试,oss-fuzz是谷歌提出的一款多引擎的模糊测试平台,该平台以docker为基础,能够实现多种语言的持续模糊测试。Google希望通过“模糊测试（fuzz testing，fuzzing）”为程序提供随机数据输入，作为开源开发的标准部分,oss-fuzz能够针对开源软件进行持续的模糊测试，其测试开发团队也提到“OSS-Fuzz的目的是利用更新的模糊测试技术与可拓展的分布式执行相结合，提高一般软件基础架构的安全性与稳定性。OSS-Fuzz结合了多种模糊测试技术/漏洞捕捉技术（即原来的libfuzzer）与清洗技术（即原来的AddressSanitizer），并且通过ClusterFuzz为大规模可分布式执行提供了测试环境，当然fuzzer也可以选择AFL,libfuzzer。在oss-fuzz中,go语言由于其运行环境,如网络问题的联通性等问题，相比于C与C++编写的项目,环境搭建较为复杂，本文以容器运行时项目containerd为例,演示如何使用oss-fuzz构建模糊测试句号并介绍了go语言模糊测试中的一个开源项目 go-fuzz-header。

项目地址:https://github.com/google/oss-fuzz

先将oss-fuzz下载到本地,project文件夹下列出了集成到oss-fuzz中进行持续模糊测试的项目,目前有将近600个项目,如下图所示

其中每个项目下有3个主要的文件,分别为project.yaml ,Dockerfile和build.sh。

该文件记录了项目的基本信息，以containerd为例，该文件夹下的project.yaml如下:

Dockerfile 为项目定义了docker 镜像，build.sh也将在镜像中运行 ,containerd的Dockerfile如下,

在Dockerfile中可以看到cncf-fuzzing的项目，该项目致力于将CNCF中的开源项目集成到OSS-fuzz中进行持续的模糊测试，如kubernetes、cri-o、runc等。

构建脚本，用来编译项目的，生成的二进制文件应放在$OUT中,以示例，一般就是编译和复制语句,示例如下

以下位置对应的环境变量

$OUT ->/out:用来存储构建好的文件

$SRC -> /src: 放源文件的位置

$WORK -> work: 存储中间文件的位置

更多的变量可以参考官方文档

1.确保Docker安装成功以及主机能够访问外网。
2.克隆 oss-fuzz项目代码到本地。
3.设置Dockerd走代理以解决pull镜像时无法访问的问题。 oss中用到的镜像都需要从谷歌拉取，有两种解决方法，给docker挂个代理然后直接pull ; 或者利用github+dockerhub的方法将所有的镜像先拖到dockerhub上，然后将源码中所有的gcr.io/oss-fuzz-base/xxxx改成对应dockerhub上的就行 ;这里使用直接给docker走代理的方式,

首先创建 /etc/systemd/system/docker.service.d/proxy.conf 配置文件,添加以下内容设置代理:

然后重新加载配置并重启服务:

检查加载的配置是否生效

4.修改containerd文件下的Dockerfile如下，首先是加了ENV 配置环境变量设置容器内部的网络代理,确定容器内部能够在git clone 或者 go install 等命令时不会报错，这里注意地址要填主机的ip，不能是127.0.0.1；其次修改containerd的分支为1.6版本，因为最新版本的containerd 的go mod 规定的是go语言的1.18版本, 目前的go环境基础容器暂时不支持 go 1.18。

1.构建fuzz的基本镜像

第一次构建需要下载很多基础镜像，如果在pull 镜像时出现gcr.io的网络连接问题，则需要检查代理是否生效。

成功构建镜像后，查看镜像列表，应该如下图所示，包括oss-fuzz提供的几个基础环境的镜像，和红框内的构建的containerd的镜像。

2.构建fuzz目标

构建完成后，在/path/to/oss-fuzz/build/out/containerd 文件夹会生成对应编译好的harness二进制文件，如 fuzz_apply、fuzz_archive_export、fuzz_parse_auth 等，每一个harness对应的一个fuzz目标。

harness的构建源码可以从containerd项目中找到，每一个fuzz函数都对应一个harness。下图为containerd中的构建脚本，其中 compile_go_fuzzer 对应的编译引擎为go-fuzz，在containerd中使用的是在go-fuzz基础上改进的go-fuzz-header。compile_native_go_fuzzer 对应的是 go 1.18 中的原生模糊测试。

在CNCF的很多go语言项目的模糊测试中,都用到了go-fuzz-header,前面的文章中已经介绍了go-fuzz和go native fuzz,相比于go-fuzz，go原生模糊测试引擎除了标准字节数组外，还可以为 Harness 提供如int,bool等多种类型 , 但一些项目可能需要更复杂的类型，如结构、映射和切片 ，go-fuzz-header就是为了解决对复杂类型的结构体进行模糊测试的挑战而出现的。以 containerd 中的 FuzzParseAuth 为例:

go-fuzz-header首先使用模糊引擎提供的随机字节 data 创建一个新的Consumer , 之后f调用GenerateStruct方法根据模糊测试引擎提供的随机数据来填充auth结构体进行测试。

3.开始fuzz,选择一个或者多个fuzz 对象开始进行模糊测试，以 fuzz_image_store为例,其中 --corpus-dir 参数可以指定种子目录，不加该参数默认以空语料库进行fuzz。

在oss-fuzz中，对于go语言模糊测试默认使用 go-fuzz 来编译harness,之后使用libfuzzer作为引擎进行fuzz，fuzz开始后会在out文件夹下生成一个文件夹，用来存放相关输出。

经过漫长的等待之后可能会发生崩溃,

崩溃信息如下:

go-fuzz-header:

https://github.com/AdaLogics/go-fuzz-headers

https://adalogics.com/blog/structure-aware-go-fuzzing-complex-types

oss-fuzz教程

https://n0va-scy.github.io/2022/02/14/oss-fuzz%E5%88%9D%E6%8E%A2/

https://github.com/google/oss-fuzz/blob/master/docs/getting-started/new_project_guide.md

containerd

https://github.com/containerd/containerd/blob/11de19af68c7d21c8fe01058026257ecd5d6ed13/contrib/fuzz/oss_fuzz_build.sh

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课