The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В инфраструктуре OSS Fuzz реализована поддержка проектов на языке Lua

24.01.2026 23:07 (MSK)

В инфраструктуру для непрерывного фаззинг-тестирования OSS-Fuzz добавлена возможность тестирования проектов, написанных на языке Lua, в дополнение к ранее поддерживаемым языкам C/C++, Go, Swift, Rust, Python, JavaScript и Java. Интеграция реализована с помощью проекта luzer, развивающего специализированный инструментарий для фаззинг-тестирования кода на языке Lua и расширений для Lua, написанных на C/C++.

Проект использует библиотеку libFuzzer и может применяться совместно с инструментами AddressSanitizer, MemorySanitizer, LeakSanitizer, ThreadSanitizer и Undefined Behavior Sanitizer, позволяющих на основе выявленных в процессе фаззинг-тестирования проблем, определять наличие типовых уязвимостей, вызванных переполнениями буфера, целочисленными переполнениями, обращением к неинициализированным и освобождённым областям, утечками памяти, разыменованием указателей и проблемами с установкой блокировок. Код проекта доступен под лицензией ISC.

В процессе работы luzer перебирает возможные комбинации входных данных и генерирует отчёт о всех выявленных сбоях и неперехваченных исключениях. Например, при проверке в luzer библиотеки разбора формата MsgPack antirez/lua-cmsgpack было выявлено, что данные с большим количеством массивов могут привести к переполнению стека.

В рамках проекта lunapark инструментарий luzer применяется для тестирования PUC Rio Lua, трассирующего компилятора LuaJIT, высокопроизводительной СУБД и сервера приложений Tarantool, а также для тестирования сторонних Lua-модулей.

Разработчики открытых проектов могут добавить свои репозитории для тестирования, подготовив шаблон фаззинг-тестирования и отправив специальную заявку через pull-запрос. При обнаружении ошибок, разработчикам автоматически отправляется уведомление и создаётся приватная заявка на исправление (чтобы исключить преждевременной утечки сведений об уязвимостях, тикет создаётся в системе отслеживания ошибок с ограниченным доступом). OSS Fuzz отслеживает состояние исправления ошибки и сам закрывает тикет, если он перестал воспроизводиться. Информация о проблеме становится публично доступной спустя 7 дней после исправления или спустя 90 дней с момента выявления ошибки, если проблема остаётся не исправленной.

  1. Главная ссылка к новости (https://groups.google.com/g/lu...)
  2. OpenNews: Google представил OSS-Fuzz, сервис для анализа безопасности открытого ПО
  3. OpenNews: Google открыл код ClusterFuzz, платформы для выявления ошибок и уязвимостей
  4. OpenNews: Представлен инструментарий Cascade, позволивший выявить 29 уязвимостей в процессорах RISC-V
  5. OpenNews: Оценка эффективности применения MiraclePtr для предотвращения уязвимостей в Chrome
  6. OpenNews: Методы безопасной работы с памятью позволили существенно снизить число уязвимостей в Android
Автор новости: sergeyb
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64668-fuzzing
Ключевые слова: fuzzing, lua
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (2) RSS
  • 1, хрюк (?), 01:05, 25/01/2026 [ответить]  
    		• +1 +/
    Переписать на Раст!
     
  • 2, Skating Anonim (?), 02:00, 25/01/2026 Скрыто ботом-модератором     [к модератору]
    		• +/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру