<div dir="ltr"><span style="font-size:12.8px">> I'm interested. What is your plan, where help is needed?</span><br><div class="gmail_extra"><br></div><div class="gmail_extra">I don't actually have a plan :) </div><div class="gmail_extra"><br></div><div class="gmail_extra">I've been using an internal to Google interface to drive fuzzing so far and have yet to look at what it takes to drive OSS-Fuzz.  So someone looking at what we need to do to trigger the fuzzing would be great.</div><div class="gmail_extra"><br></div><div class="gmail_extra">The actual writing of fuzzers is pretty easy...  e.g. <a href="https://gist.github.com/schwehr/d4d48b60ed99986ce18703262fe98758">https://gist.github.com/schwehr/d4d48b60ed99986ce18703262fe98758</a></div><div class="gmail_extra"><br></div><div class="gmail_extra">We just need to get a local version of WrapUnique and autotest2::VsiMemTempWrappe, or something equivalent, or be explicit about the cleanup.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Agreed that more fuzzing engines would be nice, but I think we are still at the point where we can find bugs faster than we can fix them.  I've got a stack of HFA issues and I hit my first GeoJSON bug with the first couple minutes of fuzzing starting with an empty corpus on a single core.  A comparison data point... kakadu was 43 issues found in approx a week of fuzzing with 1k cores.</div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Apr 22, 2017 at 7:58 AM, Even Rouault <span dir="ltr"><<a href="mailto:even.rouault@spatialys.com" target="_blank">even.rouault@spatialys.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><u></u>
<div style="font-family:monospace;font-size:9pt;font-weight:400;font-style:normal"><span class="gmail-">
<p style="margin:0px;text-indent:0px">On vendredi 21 avril 2017 09:23:50 CEST Mateusz Loskot wrote:</p>
<p style="margin:0px;text-indent:0px">> On 21 April 2017 at 02:06, Kurt Schwehr <<a href="mailto:schwehr@gmail.com" target="_blank">schwehr@gmail.com</a>> wrote:</p>
<p style="margin:0px;text-indent:0px">> > The Google security team is interested in having GDAL join the OSS-Fuzz -</p>
<p style="margin:0px;text-indent:0px">> > Continuous Fuzzing for Open Source Software project:</p>
<p style="margin:0px;text-indent:0px">> > </p>
<p style="margin:0px;text-indent:0px">> > <a href="https://github.com/google/oss-fuzz" target="_blank">https://github.com/google/oss-<wbr>fuzz</a></p>
<p style="margin:0px;text-indent:0px">> > </p>
<p style="margin:0px;text-indent:0px">> > If folks are interested, I've got a few fuzzers that we can start with</p>
<p style="margin:0px;text-indent:0px">> > that</p>
<p style="margin:0px;text-indent:0px">> > we can copy from gdal-autotest2.</p>
<p style="margin:0px;text-indent:0px">> </p>
<p style="margin:0px;text-indent:0px">> I think it's an interesting project GDAL should be part of.</p>
<p style="margin:0px;text-indent:0px"> </p>
</span><p style="margin:0px;text-indent:0px">+1</p><span class="gmail-">
<p style="margin:0px;text-indent:0px"> </p>
<p style="margin:0px;text-indent:0px">> </p>
<p style="margin:0px;text-indent:0px">> I'm interested. What is your plan, where help is needed?</p>
<p style="margin:0px;text-indent:0px">> </p>
<p style="margin:0px;text-indent:0px">> p.s. I see OSS-Fuzz is going to add new fuzing engines in future.</p>
<p style="margin:0px;text-indent:0px">> Perhaps Dr Memory/Dr Fuzz, already used by Chromium AFAIK,</p>
<p style="margin:0px;text-indent:0px">> will be considered too. AFAIU it comes with built-in fuzzer</p>
<p style="margin:0px;text-indent:0px">> and supports Windows.</p>
<p style="margin:0px;text-indent:0px">> </p>
<p style="margin:0px;text-indent:0px">> Best regards,</p>
<p style="margin:0px;text-indent:0px"> </p>
<p style="margin:0px;text-indent:0px"> </p>
<p style="margin:0px;text-indent:0px">-- </p>
</span><p style="margin:0px;text-indent:0px">Spatialys - Geospatial professional services</p>
<p style="margin:0px;text-indent:0px"><a href="http://www.spatialys.com" target="_blank">http://www.spatialys.com</a></p></div></blockquote></div><br><br clear="all"><div><br></div><div class="gmail_signature"></div>
</div></div>