近日水木羽林联合清华大学、蚂蚁金服团队开展的数据库模糊测试工作研究成果“Sequence-Oriented DBMS Fuzzing”被数据库领域顶会International Conference on Data Engineering (ICDE) 2022接收。

在这一工作中，针对数据库管理系统（DBMS）的质量与安全测试，团队创新性地提出 通过生成具有丰富SQL序列的测试输入以提升模糊测试的覆盖率和漏洞发现能力。 其设计主要包含两个部分：
（1）探索SQL类型空间以分析不同类型SQL语句的承接关系。
（2）利用该关系合成包含新的SQL类型序列的测试输入。相较于现有的主流数据库测试工具Squirrel、SQLancer、SQLsmith等，该方法能够达到更高的测试覆盖率，并针对主流开源数据库系统发现了 多达102个零日漏洞。

IEEE ICDE与SIGMOD、VLDB并称数据管理与数据库领域的三大国际顶级学术会议， 入选为中国计算机学会推荐的A类国际学术会议，在国际上享有盛誉并具有广泛的学术影响力。此次研究成果被IEEE ICDE接收，再次印证了水木羽林数据库模糊测试技术达到国际前沿水平。

目前，水木羽林自主研制的 翼卫WINGFUZZ数据库智能模糊测试系统 已推向市场，为南大通用、华腾数云等国产数据库提供安全质量测试支撑，也已在MariaDB、PostgreSQL、SQLite等众多开源数据库中发现大量缺陷。随着数字经济发展深化，水木羽林团队将继续为基础数据安全可靠保驾护航。