Go 1.18 原生支持 fuzz 测试,通过提供 Fuzz 开头的测试函数、合理种子及避免提前 recover,可高效发现崩溃类缺陷;运行 go test -fuzz 后崩溃输入存于 fuzz/crashers/ 并自动最小化。
Go 1.18 引入了原生 fuzz 测试支持,它能自动探索输入空间、触发边界条件和异常路径,对发现解析器崩溃、空指针解引用、越界访问、逻辑断言失败等深层缺陷特别有效。关键不在于写大量测试用例,而在于提供一个可 fuzz 的入口函数(fuzz target)和具备一定变异能力的种子语料。
定义 fuzz target:必须满足签名与约束
fuzz target 是一个普通函数,但需严格遵循以下格式:
- 函数名以 Fuzz 开头,如
FuzzParseJSON - 参数必须是
*testing.F,且仅此一个参数 - 在函数体内调用
f.Add()提供初始种子(如空字符串、典型值、畸形数据),再调用f.Fuzz()注册变异执行逻辑 -
f.Fuzz()的回调函数接收一个[]byte参数(即每次生成的随机输入),不可有其他参数或返回值
示例:
func FuzzParseJSON(f *testing.F) {f.Add([]byte(`{"name":"a"}`))
f.Add([]byte(`{`))
f.Add([]byte(``))
f.Fuzz(func(t *testing.T, data []byte) {
var v map[string]interface{}
if err := json.Unmarshal(data, &v); err != nil {
// 预期可能出错,不 panic
return
}
// 若解析成功后做非法操作(如 v["missing"].(string)),就可能 panic —— fuzz 会捕获 })
}
让 fuzz 发现真实崩溃:避免提前 recover 和静默吞错
fuzz 的价值在于暴露未处理的 panic 和运行时错误。如果代码中存在类似 defer func(){recover()}() 或对 json.Unmarshal 错误无条件忽略,fuzzer 就无法感知崩溃路径。
立即学习“go语言免费学习笔记(深入)”;
- 移除测试逻辑中不必要的
recover,让 panic 向上冒泡 - 不要用
_ = json.Unmarshal(...)忽略错误;若解析成功才继续后续操作,就保留该分支——fuzzer 正是靠“成功后崩掉”来定位问题 - 对切片索引、类型断言、map 查找等高危操作,先检查再使用,或保留其 panic 行为供 fuzz 捕获
提升 fuzz 效率:添加有意义的种子和过滤无效输入
纯随机字节对结构化输入(如 JSON、URL、时间格式)效率低。通过提供语义相关种子 + 简单前置校验,可显著加快崩溃发现速度。
- 种子应覆盖:空值、超长字符串、嵌套过深对象、特殊 Unicode、控制字符、典型畸形(如
{"key":)、已知历史 crash 输入 - 在
f.Fuzz回调开头加轻量过滤,跳过明显不进入目标逻辑的数据(例如函数只处理以{开头的 JSON,可写if len(data) == 0 || data[0] != '{' { return }),避免浪费变异资源 - 不建议在 fuzz 中做 heavy validation(如完整语法解析),那会拖慢速度;校验仅用于快速分流
运行与分析:关注 crashers 目录和最小化报告
执行 go test -fuzz=FuzzParseJSON -fuzztime=30s 启动 fuzz。一旦发现 panic,Go 会自动保存触发输入到 fuzz/crashers/ 目录,并打印最小化后的失败用例。
- 崩溃文件名含哈希与简短描述(如
panic-nil-pointer-xxx),内容是导致 panic 的原始[]byte - 用
go test -run=FuzzParseJSON/可复现单个 crash - 查看 panic stack trace,确认是否源于你的代码(而非标准库内部),重点检查:nil 指针解引用、slice bounds、type assertion panic、除零、显式
panic("...")
