解析Golang中的模糊测试种子选取策略 Go语言提高边缘用例覆盖

模糊测试种子文件怎么生成才有效

Go 的 fuzz 测试不是靠随机瞎试，而是从种子（seed corpus）出发做变异。种子质量直接决定边缘用例能不能被挖出来——空目录、手写单条简单输入、或只塞一个 "123"，基本等于没开 fuzz。

真正有用的种子得覆盖输入结构的“合法边界”和“典型畸形点”。比如解析 JSON，种子里要有：{}、{"a":1}、{"a":null}、{"a":（截断）、{"a":1,"b":（不完整对象）。

• 用真实业务输入导出样本：从日志、DB 字段、API 请求体里抽几十条实际数据，去重后存进 fuzz/corpus/
• 手动补边界 case：整数填 0、-1、math.MaxInt64；字符串填空、超长（如 1MB）、含控制字符（\x00、\uffff）
• 避免无效种子：不能是空文件、不能全是空白符、不能违反函数前置约束（比如函数要求非 nil 指针，种子就不能传 nil）

为什么 fuzz.Int 和 fuzz.String 不能直接当输入用

Go 的 fuzz 包提供 fuzz.Int()、fuzz.String() 这类辅助函数，但它们只是“生成器”，不是“种子值”。它们在 fuzz 运行时动态产生新值，不参与初始种子加载，也不影响 seed corpus 的分布。

换句话说：你写 f.Fuzz(func(t *testing.T, s string) { ... })，t 里拿到的 s 是 fuzz 引擎从 seed + 变异策略里生成的，和你在代码里调 fuzz.String() 完全无关——后者甚至不能在 FuzzXXX 函数外调用。

• fuzz.String() 只能在 FuzzXXX 函数体内、且必须配合 f.Add() 或 f.Fuzz() 的参数签名使用，否则编译报错
• 想控制输入结构？别依赖自动生成功能，老实用 f.Add("a", "b", "{}", "[") 显式注入确定种子
• 混淆点：文档里示例常用 fuzz.String() 演示 API，但它本质是“告诉 fuzz 引擎：这里需要 string 类型的变异输入”，不是“我现在就要一个 string”

go test -fuzz 运行时种子没被加载的常见原因

明明放好了 fuzz/corpus/ 下的文件，go test -fuzz=FuzzParse -fuzztime=10s 却只看到 “fuzz: elapsed: 10s, execs: 1234 (123/sec)” ——没有 “loaded N seeds” 提示，说明种子根本没读进去。

核心就两条：路径必须对、文件名必须合法、内容不能乱码。Go fuzz 对种子路径极其严格，错一个字符就静默跳过。

• 路径必须是 fuzz/<TestName>/corpus/，比如 FuzzParse 对应 fuzz/FuzzParse/corpus/，少一级或大小写错（fuzz/fuzzparse/）都不行
• 种子文件名只能是十六进制小写字母 + 数字（如 0000000000000001），不能带扩展名、不能有下划线、不能是 input.txt
• 文件内容必须是 UTF-8 编码纯文本，BOM 头、Windows 换行符（\r\n）都可能导致加载失败（现象是 silent skip）

如何验证种子是否真起作用

别信目录存在就万事大吉。最靠谱的方式是加 -v 并观察首次运行时的输出，以及用 -fuzzminimizetime 做反向验证。

go test -fuzz=FuzzParse -v -fuzztime=5s 正常会打印类似：
fuzz: elapsed: 5s, execs: 876, new interesting: 3 (3 total), loaded 5 seeds —— 注意最后的 “loaded 5 seeds”。没这句，就是没加载。

• 临时删掉所有种子，跑一次，记下 crash 数量；再放回种子，如果 crash 数量明显上升（尤其新增了之前没触发的 panic），说明种子生效
• 用 -fuzzminimizetime=10s 让 fuzz 尝试压缩触发 crash 的最小输入，如果它返回的最小化输入和你原始种子高度相似（比如只删了几个字符），说明引擎确实从你的种子出发变异的
• 注意：Go 1.22+ 默认启用 -fuzzcachedir，缓存可能掩盖问题。调试时加 -fuzzcachedir=（空值）禁用缓存

种子不是设完就一劳永逸的东西。随着函数逻辑变复杂、新字段加入、校验规则收紧，旧种子很快失效。定期从线上错误请求里捞 raw payload 补进 corpus，比调参重要得多。