17370845950

Go 1.18 原生支持 fuzz 测试，通过提供 Fuzz 开头的测试函数、合理种子及避免提前 recover，可高效发现崩溃类缺陷；运行 go test -fuzz 后崩溃输入存于 fuzz/crashers/ 并自动最小化。

Go 1.18 引入了原生 fuzz 测试支持，它能自动探索输入空间、触发边界条件和异常路径，对发现解析器崩溃、空指针解引用、越界访问、逻辑断言失败等深层缺陷特别有效。关键不在于写大量测试用例，而在于提供一个可 fuzz 的入口函数（fuzz target）和具备一定变异能力的种子语料。

定义 fuzz target：必须满足签名与约束

fuzz target 是一个普通函数，但需严格遵循以下格式：

• 函数名以 Fuzz 开头，如 FuzzParseJSON
• 参数必须是 *testing.F，且仅此一个参数
• 在函数体内调用 f.Add() 提供初始种子（如空字符串、典型值、畸形数据），再调用 f.Fuzz() 注册变异执行逻辑
• f.Fuzz() 的回调函数接收一个 []byte 参数（即每次生成的随机输入），不可有其他参数或返回值

示例：

func FuzzParseJSON(f *testing.F) {
  f.Add([]byte(`{"name":"a"}`))
  f.Add([]byte(`{`))
  f.Add([]byte(``))
  f.Fuzz(func(t *testing.T, data []byte) {
    var v map[string]interface{}
    if err := json.Unmarshal(data, &v); err != nil {
      // 预期可能出错，不 panic
      return
    }
    // 若解析成功后做非法操作（如 v["missing"].(string)），就可能 panic —— fuzz 会捕获  })
}

让 fuzz 发现真实崩溃：避免提前 recover 和静默吞错

fuzz 的价值在于暴露未处理的 panic 和运行时错误。如果代码中存在类似 defer func(){recover()}() 或对 json.Unmarshal 错误无条件忽略，fuzzer 就无法感知崩溃路径。

• 移除测试逻辑中不必要的 recover，让 panic 向上冒泡
• 不要用 _ = json.Unmarshal(...) 忽略错误；若解析成功才继续后续操作，就保留该分支——fuzzer 正是靠“成功后崩掉”来定位问题
• 对切片索引、类型断言、map 查找等高危操作，先检查再使用，或保留其 panic 行为供 fuzz 捕获

提升 fuzz 效率：添加有意义的种子和过滤无效输入

纯随机字节对结构化输入（如 JSON、URL、时间格式）效率低。通过提供语义相关种子 + 简单前置校验，可显著加快崩溃发现速度。

• 种子应覆盖：空值、超长字符串、嵌套过深对象、特殊 Unicode、控制字符、典型畸形（如 {"key":）、已知历史 crash 输入
• 在 f.Fuzz 回调开头加轻量过滤，跳过明显不进入目标逻辑的数据（例如函数只处理以 { 开头的 JSON，可写 if len(data) == 0 || data[0] != '{' { return }），避免浪费变异资源
• 不建议在 fuzz 中做 heavy validation（如完整语法解析），那会拖慢速度；校验仅用于快速分流

运行与分析：关注 crashers 目录和最小化报告

执行 go test -fuzz=FuzzParseJSON -fuzztime=30s 启动 fuzz。一旦发现 panic，Go 会自动保存触发输入到 fuzz/crashers/ 目录，并打印最小化后的失败用例。

• 崩溃文件名含哈希与简短描述（如 panic-nil-pointer-xxx），内容是导致 panic 的原始 []byte
• 用 go test -run=FuzzParseJSON/ 可复现单个 crash
• 查看 panic stack trace，确认是否源于你的代码（而非标准库内部），重点检查：nil 指针解引用、slice bounds、type assertion panic、除零、显式 panic("...")