GoldenKey GoldenKey

OSS-Fuzz는 Google에서 개발한 오픈 소스 소프트웨어를 위한 지속적인 퍼징(fuzzing) 서비스입니다. 퍼징은 소프트웨어의 보안 취약점이나 버그를 찾기 위해 임의의 데이터를 자동으로 생성하여 프로그램에 입력하는 기법입니다. OSS-Fuzz는 특히 C/C++과 같은 메모리 안전성이 보장되지 않는 언어로 작성된 오픈 소스 프로젝트를 대상으로 합니다. OSS-Fuzz 구동 과정에서 적용되는 예시는 다음과 같습니다: 프로젝트 통합 오픈 소스 프로젝트가 OSS-Fuzz에 통합되기 위해서는 프로젝트 소스 코드에 퍼징 대상이 될 함수들을 정의해야 합니다. 이 함수들은 보통 '퍼징 타겟'이라고 불리며, 퍼저(fuzzer)가 생성한 입력 데이터를 처리합니다. 퍼즈 타겟 작성 퍼즈 타겟은 프로젝트의 API를 호..

OSS-Fuzz는 구글이 개발한 AI 기반 퍼징 프레임워크로, 소프트웨어의 취약점을 효과적으로 찾아낼 수 있습니다. 이번 섹션에서는 보다 심화된 사용 예시를 통해 OSS-Fuzz의 강력한 기능을 탐구합니다. 심화된 테스트 시나리오: JSON 파서 테스트 이 예시에서는 OSS-Fuzz를 사용하여 간단한 JSON 파서의 취약점을 찾는 방법을 설명합니다. JSON 파서는 웹 개발에서 널리 사용되며, 잘못 구현된 경우 보안 취약점으로 이어질 수 있습니다. 1단계: 테스트 대상 함수 구현 먼저, 간단한 JSON 파싱 함수를 C++로 구현합니다. 이 함수는 문자열 형태의 JSON 입력을 받아 처리합니다. #include #include bool parseJson(const std::string& jsonInput)..

구글의 OSS-Fuzz는 AI를 활용해 소프트웨어의 취약점을 탐지하는 오픈소스 퍼징 프레임워크입니다. 이 글에서는 OSS-Fuzz의 주요 내용을 다루며, 코드 예시를 통해 이해를 돕고자 합니다. OSS-Fuzz를 통해 개발자들은 보다 안전한 소프트웨어를 구축할 수 있습니다. OSS-Fuzz 소개 OSS-Fuzz는 구글이 개발한 오픈소스 퍼징 프레임워크로, 소프트웨어의 입력 처리 부분을 자동화된 방식으로 테스트하여 취약점을 발견합니다. 이는 개발자들이 소프트웨어의 보안을 강화하고 버그를 조기에 발견할 수 있게 해줍니다. 퍼징(Fuzzing)이란? 퍼징은 임의의 데이터(퍼즈)를 소프트웨어에 입력하여 예상치 못한 동작이나 오류를 발견하는 테스트 방법입니다. AI 기반의 퍼징은 이 과정을 자동화하고 최적화하여,..

구글은 최근 AI를 기반으로 한 퍼징(fuzzing) 프레임워크인 OSS-Fuzz를 오픈소스로 공개하며, 소프트웨어 개발 및 보안 커뮤니티에 새로운 도구를 제공했습니다. OSS-Fuzz는 개발자들이 소프트웨어의 취약점을 자동으로 탐지하고 수정할 수 있도록 지원하는 혁신적인 툴입니다. 이 블로그 글에서는 OSS-Fuzz의 주요 특징, 이점 및 구글이 이 프로젝트를 오픈소스로 공개한 배경에 대해 자세히 살펴보겠습니다. OSS-Fuzz의 도입 배경과 중요성 소프트웨어 취약점은 기업과 개인 사용자 모두에게 심각한 위협이 됩니다. 이러한 취약점은 데이터 유출, 시스템 파괴 및 기타 보안 관련 문제로 이어질 수 있습니다. 구글은 이러한 문제에 대응하기 위해 AI를 활용한 퍼징 기술을 통해 소프트웨어의 안정성과 보안..