Skip to main content

ossfuzz

ossfuzz

Catalogue généré le 2026-05-11

En une phrase

OSS-Fuzz providesest freeun continuousservice gratuit de Google qui fait tourner du fuzzing for24h/24 sur les projets open source projects.critiques pour trouver des bugs avant les hackers.

Quand l'utiliser

  • UseInscrire whenun settingprojet upopen continuoussource important dans le programme de fuzzing continu de Google.
Mettre en place une infrastructure orde enrollingfuzzing projects.continu pour ton équipe. Quand un projet est utilisé par beaucoup de monde et mérite un audit continu (curl, OpenSSL, etc.). Pour automatiser le fuzzing dans un pipeline CI/CD. Pour publier des coverage reports automatiques.

Comment l'invoquer

  • Slash command : /ossfuzz (si exposé dans ton CLI)
  • Phrases déclencheurs (texte) : voir"continuous lafuzzing", description"OSS-Fuzz complèteenrollment", ci-dessous"Google fuzzing service"
  • Auto-invocation : surSur demande explicite

Description complètedétaillée

OSS-Fuzz providesest freeun continuous fuzzing forservice open source projects.de UseGoogle whenqui settingfournit upgratuitement continuousune infrastructure massive (des milliers de cœurs CPU) pour faire tourner du fuzzing infrastructureen orcontinu enrollingsur projects.les projets open source qui acceptent de s'inscrire. L'idée : les projets critiques pour internet (curl, OpenSSL, SQLite, Linux kernel…) tournent 24h/24 sur les serveurs Google, et dès qu'un bug est trouvé, Google notifie les mainteneurs en privé pour corriger avant que ce soit public.

Pour rejoindre OSS-Fuzz, tu dois préparer trois fichiers : un project.yaml (metadata du projet), un Dockerfile (l'image avec les dépendances de build) et un build.sh (le script qui compile les fuzzers). Google fait passer tes harnesses à travers libFuzzer, AFL++, Honggfuzz et les sanitizers (ASan, UBSan, MSan). Si quelque chose crashe, tu reçois un rapport détaillé.

Les projets acceptés sont évalués selon leur "criticality score" (importance pour l'écosystème). Tu peux aussi héberger ton propre instance d'OSS-Fuzz pour tes projets privés — le code de base est open source. C'est devenu LE standard de l'industrie pour le fuzzing continu sérieux.

Pour aller plus loin

OSS-Fuzz

Pour

OSS-Fuzzles isexemples anconcrets, open-sourceoptions projectde developedconfiguration byet Googlepatterns that provides free distributed infrastructure for continuous fuzz testing. It streamlines the fuzzing process and facilitates simpler modifications. While only select projects are accepted into OSS-Fuzz, the project's core is open-source, allowing anyone to host their own instance for private projects.

Overview

OSS-Fuzz provides a simple CLI framework for building and starting harnesses or calculating their coverage. Additionally, OSS-Fuzz can be used as a service that hosts static web pages generated from fuzzing outputs such as coverage information.

Key Concepts

Concept Description helper.py CLI script for building images, building fuzzers, and running harnesses locally Base Images Hierarchical Docker images providing build dependencies and compilers

(extrait —avancés, voir le SKILL.md complet pour la suite)original.

Source

  • Plugin : trailofbits/testing-handbook-skills
  • Nom interne : ossfuzz
  • Fichier : /home/thymon/.claude/plugins/cache/trailofbits/testing-handbook-skills/1.0.1/skills/ossfuzz/SKILL.md