Trail of Bits 2024开源贡献全览:安全工具、密码学与区块链技术深度解析

Trail of Bits在2024年向80多个开源项目提交了750多个合并的拉取请求,涵盖LLVM编译器改进、后量子密码学实现、Python打包生态系统增强、区块链工具优化以及逆向工程工具维护等关键技术领域。

庆祝我们的2024年开源贡献 - Trail of Bits博客

虽然Trail of Bits以开发Slither、Medusa和Fickling等安全工具而闻名,但我们的工程工作远不止于自己的项目。在整个2024年,我们的团队深入参与了更广泛的安全生态系统,解决了安全工程师日常依赖的开源工具和基础设施中的挑战。

今年,我们的工程师提交了超过750个成功合并的拉取请求(比2023年的贡献增加了67%!),改进了80多个开源项目,从基础密码学库到包管理器和软件索引。每项贡献都是对现实世界安全工程挑战的回应——当我们遇到关键工具的限制时,我们会深入研究并改进它们。当我们发现加强每个人依赖的安全原语的方法时,我们会将这些改进实施到上游,使整个社区受益。

其中一些更改单独来看可能很小——这里有一个更强大的解析器,那里有更好的错误处理——但它们共同代表了对数千名工程师依赖的安全工具的有意义改进。从强化包签名工作流到增强模糊测试能力,每项贡献都有助于为每个人构建更安全的基础。

让我们深入探讨我们在2024年做出的一些关键贡献。

关键贡献

LLVM:我们对MLIR和AddressSanitizer进行了改进。例如,我们为std::string和std::deque容器添加了C++容器溢出检测。在我们的博客文章“Sanitize your C++ containers: ASan annotations step-by-step”中阅读更多相关内容。

pwndbg:pwndbg是一个GDB和LLDB插件,有助于逆向工程和漏洞利用开发。我们的工程师继续维护该项目,修复了许多问题并合并了许多新功能,如LLDB端口、Binary Ninja集成(参见拉取请求)以及对嵌入式设备的更好支持。

hevm:hevm是支持符号和具体执行的EVM实现,我们将其作为Echidna的基础。在整个2024年,我们贡献了几项性能改进,添加了对新Cancun操作码的支持,并实现了多个新的cheatcode以改善测试体验。

后量子密码学:我们发布了两种已被NIST标准化的后量子数字签名方案的开源实现,有助于改善后量子密码学的整体社区支持。我们发布了这些标准的Go和Rust版本,Rust版本已集成到RustCrypto中。

OSS-Fuzz:OSS-Fuzz是开源软件项目的持续模糊测试工具。我们添加了对Ruzzy的支持,这是我们用于Ruby和Ruby C扩展的覆盖引导模糊测试器。

Python打包生态系统:我们继续为Python打包生态系统做出贡献,实现了PEP 740和许多其他供应链安全改进。在我们的博客文章“Attestations: A new generation of signatures on PyPI”中阅读更多相关内容。

这里列出的拉取请求捕捉了技术变化,但它们并没有讲述完整的故事。每个合并的拉取请求背后都有一个维护者社区,他们审查了我们的代码,提出了改进建议,并仔细考虑了每个更改的长期影响。这些维护者承担着开源开发的真正重量——确保一致性,维护测试覆盖率,并在多年的变化中保持兼容性。

我们的许多贡献始于我们在安全评估或工具开发过程中遇到的开源项目的限制。我们没有为这些限制构建变通方案,而是选择在上游解决它们,改进整个安全社区依赖的工具。我们能够完成这项工作,是因为我们站在巨人的肩膀上——构建和培育这些关键项目的维护者和贡献者。

向每一位审查我们拉取请求的维护者、每一位提供反馈的开发人员以及每一位致力于改善安全生态系统的工程师——表示感谢。祝协作安全工程又一年!

Trail of Bits 2024年部分开源贡献

AI/ML

密码学

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次