Найти в Дзене
Протестировал
9 подписчиков

Понял, что после доклада про фаззинг скриптов Lua и программ с Lua-интерфейсом я больше ничего и не писал

1 мин
Понял, что после доклада про фаззинг скриптов Lua и программ с Lua-интерфейсом я больше ничего и не писал. А с момента выступления на Heisenbug мы много что успели сделать: исправили много багов, добавили поддержку санитайзеров, планируем поддержать AFL, написали тесты, которые используют luzer для фаззинга стандартной библиотеки Lua для LuaJIT и PUC Rio Lua и много чего ещё. Знаю, что luzer используем не только мы для тестирования Tarantool и LuaJIT, его используют и в других компаниях. Было очень приятно на PHDays на одном из стендов услышать от человека, что он пользуется моей библиотекой (Алекс, привет!). Весной этого года luzer вошел в состав комплекса для динамического и статического анализа программ, который разрабатывает ИСП РАН (транзитивно через Sydr Fuzz). Все пользователи Crusher полчили возможность фаззить все, что имеет Lua API. В OSS Fuzz помимо компилируемых языков поддерживаются и скриптовые (Python, Javasript и Ruby) и мы очень хотим интегрировать luzer и добавить п

Понял, что после доклада про фаззинг скриптов Lua и программ с Lua-интерфейсом я больше ничего и не писал. А с момента выступления на Heisenbug мы много что успели сделать: исправили много багов, добавили поддержку санитайзеров, планируем поддержать AFL, написали тесты, которые используют luzer для фаззинга стандартной библиотеки Lua для LuaJIT и PUC Rio Lua и много чего ещё. Знаю, что luzer используем не только мы для тестирования Tarantool и LuaJIT, его используют и в других компаниях. Было очень приятно на PHDays на одном из стендов услышать от человека, что он пользуется моей библиотекой (Алекс, привет!).

Весной этого года luzer вошел в состав комплекса для динамического и статического анализа

программ, который разрабатывает ИСП РАН (транзитивно через Sydr Fuzz). Все пользователи Crusher полчили возможность фаззить все, что имеет Lua API.

В OSS Fuzz помимо компилируемых языков поддерживаются и скриптовые (Python, Javasript и Ruby) и мы очень хотим интегрировать luzer и добавить поддержку Lua в OSS Fuzz, чтобы использовать там этот движок самим и дать возможность другим opensource проектам фаззить скрипты и приложения с Lua интерфейсом. Мы создали тикет с предложением интеграции и черновик реализации, в приватной переписке я выяснил, что гуглеры вцелом непротив добавить поддержку Lua, но что-то их останавливает. Если вам тоже интересна поддержка Lua в OSS Fuzz, то прошу поддержать тикет. Если у вас есть контакты к Google Security Team и вы можете помочь повлиять на положительное решение по интеграции библиотеки, то я буду вам очень благодарен за помощь.

https://github.com/google/oss-fuzz/issues/13782