庆祝我们的2024开源贡献 - Trail of Bits博客

虽然Trail of Bits以开发Slither、Medusa和Fickling等安全工具而闻名，但我们的工程努力远不止于自身项目。整个2024年，我们的团队深度参与更广泛的安全生态系统，解决安全工程师日常依赖的开源工具和基础设施中的挑战。

今年，我们的工程师提交了超过750个成功合并的拉取请求（比2023年贡献增长了67%！），改进了80多个开源项目，范围从基础密码学库到包管理器和软件索引。每项贡献都是对现实世界安全工程挑战的响应——当我们在关键工具中遇到限制时，我们会深入挖掘并改进它们。当我们发现加强每个人都依赖的安全原语的方法时，我们会在上游实施这些改进，使整个社区受益。

这些变化单独看可能显得很小——这里一个更健壮的解析器，那里更好的错误处理——但合在一起，它们代表了对数千名工程师依赖的安全工具的有意义改进。从强化包签名工作流到增强模糊测试能力，每项贡献都有助于为每个人构建更安全的基础。

让我们深入探讨我们在2024年做出的一些关键贡献。

关键贡献

LLVM：我们对MLIR和AddressSanitizer进行了改进。例如，我们为std::string和std::deque容器添加了C++容器溢出检测。在我们的博客文章“消毒你的C++容器：ASan注解逐步指南”中阅读更多相关内容。

pwndbg：pwndbg是一个GDB和LLDB插件，有助于逆向工程和漏洞利用开发。我们的工程师持续维护该项目，修复了许多问题并合并了许多新功能，如LLDB端口、Binary Ninja集成（参见拉取请求）以及对嵌入式设备的更好支持。

hevm：hevm是EVM的实现，支持符号和具体执行，我们将其作为Echidna的基础。在整个2024年，我们贡献了几项性能改进，添加了对新Cancun操作码的支持，并实现了多个新作弊代码以改善测试体验。

后量子密码学：我们发布了两种已被NIST标准化的后量子数字签名方案的开源实现，有助于改善后量子密码学的整体社区支持。我们发布了这些标准的Go和Rust版本，Rust版本已集成到RustCrypto中。

OSS-Fuzz：OSS-Fuzz是开源软件项目的持续模糊测试工具。我们添加了对Ruzzy的支持，这是我们针对Ruby和Ruby C扩展的覆盖引导模糊测试器。

Python打包生态系统：我们继续对Python打包生态系统做出贡献，实现了PEP 740和许多其他供应链安全改进。在我们的博客文章“证明：PyPI上的新一代签名”中阅读更多相关内容。

这里列出的拉取请求捕捉了技术变化，但它们没有讲述完整的故事。每个合并的拉取请求背后都有一个维护者社区，他们审查我们的代码，提出改进建议，并仔细考虑每个变化的长期影响。这些维护者承担着开源开发的真正重担——确保一致性，维护测试覆盖，并在多年的变化中保持兼容性。

我们的许多贡献始于我们在安全评估或工具开发期间遇到的开源项目中的限制。我们没有为这些限制构建变通方案，而是选择在上游解决它们，改进整个安全社区依赖的工具。我们能够完成这项工作，是因为我们站在巨人的肩膀上——构建和培育这些关键项目的维护者和贡献者。

向每一位审查我们拉取请求的维护者、每一位提供反馈的开发人员以及每一位努力改善安全生态系统的工程师——表示感谢。为协作安全工程的又一年干杯！

Trail of Bits 2024年部分开源贡献

AI/ML

Repo: TabbyML/tabby
Name: feat: Add Solidity language
#1681 ret2libc: https://github.com/TabbyML/tabby/pull/1681
Repo: astronomer/ask-astro

#325 bismuthsalamander: https://github.com/astronomer/ask-astro/pull/325
Repo: continuedev/continue
Name: Add autocomplete support for Solidity
#964 ret2libc: https://github.com/continuedev/continue/pull/964
Repo: langchain-ai/langchain
Name: core: runnables: special handling GeneratorExit because no error
#22662 ret2libc: https://github.com/langchain-ai/langchain/pull/22662
Repo: onyx-dot-app/onyx
Name: backend: remove duplicated word in ANSWER_VALIDITY_PROMPT
#1184 ret2libc: https://github.com/onyx-dot-app/onyx/pull/1184
Repo: unoplat/vespa-helm-charts
Name: Fix labels and service selector
#14 oldsj: https://github.com/unoplat/vespa-helm-charts/pull/14

密码学

（此处省略大量密码学相关的贡献列表，包括x509-limbo、RustCrypto/signatures、alex/rust-asn1、openssl/openssl、pyca/cryptography等项目的多项改进）

语言和编译器

（此处省略LLVM、编译器资源管理器等相关项目的贡献）

库

（此处省略AFLplusplus、curl-fuzzer、di/id、di/pip-api、psastras/sarif-rs、psf/cachecontrol、pypi/stdlib-list、sigstore相关项目等的贡献）

技术基础设施

（此处省略Homebrew、aws-nitro-enclaves、osquery、python/peps、sigstore架构文档等相关项目的贡献）

软件测试工具

（此处省略google/oss-fuzz、langston-barrett/tree-crasher、mkdocstrings/python、pypa/abi3audit、pypa/gh-action-pip-audit等项目的贡献）

区块链软件

（此处省略FuelLabs/fuel-vm、JoranHonig/tree-sitter-solidity、cosmos/cosmos-sdk、ethereum/ethereum-org-website、ethereum/hevm等项目的贡献）

逆向工程工具

（此处省略Gallopsled/pwntools、NationalSecurityAgency/ghidra、angr/angrop、angr/cle、martinradev/gdb-pt-dump、purseclab/Patcherex2、pwndbg/pwndbg等项目的贡献）

打包生态系统/供应链

（此处省略Homebrew相关项目、actions/starter-workflows、commercetools/merchant-center-application-kit、microsoft/vcpkg、psf/policies、pypa/advisory-database、pypa/gh-action-pypi-publish、pypa/packaging.python.org、pypa/pip-audit、pypa/sampleproject、pypa/twine、pypi/warehouse、rubygems/guides、sigstore/docs等项目的贡献）

其他

Repo: AlDanial/cloc
Name: Adding FunC language
#872 cdahlheimer: https://github.com/AlDanial/cloc/pull/872
Repo: emad-elsaid/xlog
Name: link_preview.go: fix Twitter regexp
#67 disconnect3d: https://github.com/emad-elsaid/xlog/pull/67

如果你喜欢这篇文章，请分享： Twitter LinkedIn GitHub Mastodon Hacker News

页面内容

关键贡献
Trail of Bits 2024年部分开源贡献
- AI/ML
- 密码学
- 语言和编译器
- 库
- 技术基础设施
- 软件测试工具
- 区块链软件
- 逆向工程工具
- 打包生态系统/供应链
- 其他

Trail of Bits 2024开源贡献全景：从编译器加固到区块链安全

Trail of Bits在2024年向80多个开源项目提交了750多个合并的PR，涵盖LLVM编译器加固、后量子密码学实现、Python供应链安全增强、区块链工具改进及逆向工程工具维护等关键技术领域。