Google gibt den Code für Atheris frei. Die Fuzzing-Engine unterstützt Entwickler bei der Suche nach Fehlern in Python-Code und in -Erweiterungen. Das Unternehmen beschreibt Atheris als "Coverage-guided"-Fuzzer. Das bedeutet, dass Atheris wiederholt verschiedene Eingaben in Programmen vornimmt, diese während der Ausführung beobachtet und so auffällige Pfade aufdeckt.

Atheris im Einsatz

Das Tool ist auf differenzielles Fuzzing spezialisiert. Atheris sucht demnach nach Unterschieden im Verhalten von Bibliotheken, die dieselbe Funktionalität bieten, in verschiedenen Fällen aber nicht immer die gleichen Ergebnisse liefern.

Die Engine unterstützt das Fuzzing von auf Python 2.7 oder Python 3.3+ basierendem Code beziehungsweise nativen Erweiterungen. Empfohlen wird Atheris aber insbesondere beim Einsatz von Python-Code der Versionen 3.8 und höher. Beim Fuzzing nativer Erweiterungen kann Atheris außerdem in Kombination mit dem Address Sanitizer oder dem Undefined Behavior Sanitizer verwendet werden. Nähere Informationen zu Atheris finden sich im Open-Source-Blog von Google.

Was ist Fuzzing?

Fuzzing eine automatisierte Methode zum Finden von Fehlern in Software. Sie füttert ein Programm mit zufälligen – und dadurch unerwarteten – Eingaben, die Entwickler häufig nicht testen. Diese Technik soll besonders effektiv beim Finden von Memory-Corruption-Bugs sein und dadurch Sicherheitslücken schließen können. Der Begriff stammt aus dem Englischen – fuzzy heißt übersetzt unscharf oder verschwommen. Den Begriff prägte Barton Miller, ein Professor an der University of Wisconsin Ende der 1980er-Jahre.

(mdo)