自 Google 宣布了 OSS-Fuzz 之后的五個(gè)月里，這款工具在開(kāi)源項(xiàng)目中嗅探出了超過(guò) 1000 多個(gè) bug，其中包括 264 個(gè)潛在的安全漏洞。谷歌團(tuán)隊(duì)非常努力，每天都要處理 10 萬(wàn)億的測(cè)試輸入。有 47 個(gè)項(xiàng)目早已整合了 Fuzz，找到的千余個(gè) bug 中它們功不可沒(méi)。Google 表示：“OSS-Fuzz 已經(jīng)在幾個(gè)關(guān)鍵開(kāi)源項(xiàng)目中找到了多個(gè)安全漏洞”。

除了查找內(nèi)存安全相關(guān)的 bug，F(xiàn)uzzing 還可以查找邏輯方面的錯(cuò)誤。

其中：

FreeType 2(10 個(gè))、FFmpeg(17 個(gè))、LibreOffice(33 個(gè))、SQLite 3(8 個(gè))、GnuTLS(10 個(gè))、PCRE2(25 個(gè))、gRPC(9 個(gè))、Wireshark(7 個(gè))。

此外，OSS-Fuzz 還與另一個(gè)獨(dú)立安全研究工具碰上了同一個(gè) bug，它就是 CVE-2017-2801 。

據(jù)該公司所述，當(dāng)某個(gè)項(xiàng)目集成了 OSS-Fuzz 之后，后續(xù)它就會(huì)自動(dòng)而自然地抓取問(wèn)題，并且?guī)讉€(gè)小時(shí)后回溯至上游資源庫(kù)，從而將用戶受影響的可能性盡可能降低。

Google 還稱，OSS-Fuzz 已經(jīng)報(bào)告了超過(guò) 300 次超時(shí)和內(nèi)存不足失敗，其中有 3/4 已被修復(fù)。