harness-writing

bởi trailofbits

harness-writing giúp bạn thiết kế các fuzzing harness biến dữ liệu thô thành những bài kiểm thử có ý nghĩa và có thể tái lập cho hệ thống đang kiểm thử. Hãy dùng kỹ năng harness-writing khi bạn cần một fuzz target mới hoặc muốn cải thiện độ bao phủ, độ ổn định và khả năng tìm lỗi cho các tác vụ Code Generation. Kỹ năng này tập trung vào phân tích đầu vào quyết định, chuỗi lời gọi hợp lệ và các lỗi sập có thể tái hiện.

Stars5k

Yêu thích0

Bình luận0

Đã thêm7 thg 5, 2026

Danh mụcCode Generation

Lệnh cài đặt

npx skills add trailofbits/skills --skill harness-writing

Điểm tuyển chọn

Kỹ năng này đạt 78/100, tức là một ứng viên danh mục khá tốt cho người dùng cần hướng dẫn thực tế về cách viết fuzzing harness. Kho lưu trữ thể hiện đây là một tài liệu kỹ thuật có thật, không phải chỗ giữ chỗ, với nội dung đáng kể, phạm vi áp dụng rõ ràng và đủ cấu trúc để tác nhân có thể kích hoạt và sử dụng tốt hơn một prompt chung. Tuy vậy, người dùng vẫn nên đọc tài liệu vì không có lệnh cài đặt hay script hỗ trợ để tự động hóa việc áp dụng.

78/100

Điểm mạnh

Trường hợp sử dụng rõ ràng: phần frontmatter nêu rõ áp dụng cho việc tạo fuzz target mới hoặc cải thiện mã harness hiện có.
Nội dung vận hành khá đầy đủ: phần skill lớn, có cấu trúc, nhiều heading, code fence và tín hiệu rõ về quy trình/ràng buộc.
Khả năng kích hoạt tốt cho tác nhân: định nghĩa các khái niệm cốt lõi như harness, SUT, entry point và hành vi quyết định, giúp giảm suy đoán.

Điểm cần lưu ý

Không có lệnh cài đặt và cũng không có tệp hỗ trợ, nên có vẻ việc áp dụng chủ yếu dựa trên tài liệu thay vì công cụ.
Phần mô tả khá ngắn, vì vậy người dùng có thể cần xem toàn bộ `SKILL.md` để hiểu rõ mức độ phù hợp và chi tiết quy trình.

Fuzzing Testing Libfuzzer Addresssanitizer Cpp Rust Python JavaScript

Tổng quan

Tổng quan về harness-writing skill

harness-writing skill giúp bạn thiết kế fuzzing harness biến các byte thô thành các bài test có ý nghĩa và có thể tái lập cho hệ thống đang kiểm thử. Skill này hữu ích nhất khi bạn đã có sẵn một thư viện hoặc API mục tiêu và cần một harness thực sự đi sâu vào các đường code bên trong, thay vì chỉ nhận input rồi trả về. Nếu bạn đang cân nhắc dùng harness-writing cho Code Generation, câu hỏi then chốt là bạn có cần logic fuzz target có cấu trúc hay chỉ cần một prompt chung chung về fuzzing.

harness-writing dùng để làm gì

Hãy dùng harness-writing skill khi bạn cần tạo một fuzz target mới hoặc cải thiện một target đã có để tăng coverage, độ ổn định hoặc khả năng tìm lỗi. Skill này tập trung vào công việc thực tế là ánh xạ các byte đã fuzz thành các lời gọi hợp lệ, chuyển trạng thái đúng ngữ cảnh, và các tình huống biên mà mã của bạn có thể xử lý an toàn.

Vì sao skill này khác với một prompt chung

Một prompt thông thường có thể mô tả fuzzing ở mức khái quát, nhưng harness-writing skill cung cấp một workflow chặt hơn cho việc thiết kế harness: phân tích input thế nào, chọn operation ra sao, tránh phi xác định thế nào, và giữ cho crash có thể tái lập thế nào. Nhờ vậy, nó hữu ích hơn cho các tác vụ Code Generation mà đầu ra phải dùng được ngay.

Người dùng và dự án phù hợp nhất

Skill này phù hợp với kỹ sư bảo mật, người làm fuzzing, người duy trì thư viện, và các agent tạo hạ tầng kiểm thử cho C/C++ hoặc các mục tiêu mức thấp tương tự. Đây là lựa chọn rất tốt khi bạn quan tâm đến coverage, triage crash, và độ đúng ở mức API. Nó sẽ kém phù hợp hơn nếu bạn chỉ cần một cái nhìn tổng quan về fuzzing mà không có code để viết.

Cách dùng harness-writing skill

Cài đặt và mở đúng file

Với harness-writing install, hãy thêm skill vào bộ skills của bạn theo quy trình skills thông thường của repo, rồi mở SKILL.md trước. Nếu muốn quét ngữ cảnh nhanh nhất, hãy đọc các phần định nghĩa cách thiết kế harness, khi nào nên áp dụng, và mọi tài liệu tham khảo nhanh trước khi sinh code. Trong repo này, SKILL.md là nguồn chính; không có thêm script hỗ trợ hay thư mục tham chiếu nào khác để đối chiếu.

Đưa cho skill một mục tiêu, không chỉ một đích đến chung chung

Để harness-writing usage hiệu quả, hãy mô tả chính xác API hoặc component bạn muốn fuzz, ngôn ngữ sử dụng, và bề mặt input. Một input tốt sẽ giống như: “Viết fuzz harness cho một thư viện parser bằng C++ có ParseMessage(const uint8_t*, size_t) và phải tránh I/O với file.” Một input yếu sẽ giống như: “Làm một fuzz harness cho app của tôi.” Skill hoạt động tốt nhất khi nó biết entry point phải gọi gì và những hành vi nào phải giữ được tính xác định.

Biến ý tưởng thô thành một prompt đầy đủ

Một prompt hữu ích cho harness-writing guide thường bao gồm:

tên target và ngôn ngữ
fuzzing engine hoặc framework, nếu biết
các hàm public, constructor, hoặc protocol cần kiểm thử
các side effect bị cấm như truy cập mạng, ghi filesystem, hoặc trạng thái toàn cục
các edge case đã biết, hành vi có trạng thái, hoặc lịch sử crash
bạn muốn logic harness một thao tác hay nhiều thao tác

Cấu trúc bổ sung đó giúp skill chọn đúng hình dạng harness thay vì phải đoán kiến trúc của bạn.

Quy trình thực tế để đầu ra tốt hơn

Hãy bắt đầu bằng việc yêu cầu hình dạng harness, rồi mới yêu cầu tinh chỉnh. Ví dụ, hãy xin một bản harness sơ bộ trước, sau đó follow up với các ràng buộc như determinism, phân chia input, hoặc coverage đường đi sâu hơn. Nếu phiên bản đầu còn nông, hãy yêu cầu nó tổ chức lại logic parsing, mở rộng coverage cho các operation hợp lệ, hoặc giảm giả định về trạng thái mặc định. Với Code Generation, workflow hai bước này thường cho harness tốt hơn là nhồi tất cả vào một prompt quá lớn.

Câu hỏi thường gặp về harness-writing skill

harness-writing chỉ dành cho chuyên gia fuzzing sao?

Không. harness-writing skill có thể giúp người mới nếu họ biết API mục tiêu và muốn một harness có cấu trúc, nhưng nó hữu ích nhất khi bạn mô tả được hệ thống đang kiểm thử một cách rõ ràng. Nếu bạn không gọi được tên entry point hoặc không giải thích được input sẽ được tiêu thụ như thế nào, kết quả sẽ yếu hơn đáng kể.

harness-writing khác gì với prompt code bình thường?

Một prompt bình thường có thể tạo ra một đoạn code trông giống harness, nhưng harness-writing hướng tới các vấn đề cụ thể làm cho code fuzzing thực sự hữu dụng: determinism, coverage, xử lý state, và giải mã input hợp lệ. Vì vậy nó phù hợp hơn cho harness-writing for Code Generation khi mục tiêu là một fuzz target thật sự, không chỉ code mẫu.

Khi nào tôi không nên dùng skill này?

Đừng dùng nó nếu bạn cần một phần giới thiệu rộng về khái niệm fuzzing, nếu dự án của bạn chưa sẵn sàng cho kiểm thử tự động dựa trên input, hoặc nếu target không thể được kích hoạt qua một API ổn định. Nó cũng ít hữu ích hơn khi vấn đề chính là thiết lập môi trường kiểm thử chứ không phải thiết kế harness.

Tôi nên đọc gì trước trong repo?

Hãy đọc SKILL.md trước, rồi tìm các phần giải thích khái niệm chính và khi nào nên áp dụng kỹ thuật này. Vì repository này khá gọn, giá trị chính nằm ở việc hiểu logic của harness-writing hơn là lần theo thêm các file phụ.

Cách cải thiện harness-writing skill

Nêu rõ hình dạng target và các ràng buộc ngay từ đầu

Bước nhảy chất lượng lớn nhất đến từ việc gọi đúng tên function, object, hoặc ranh giới protocol bạn muốn fuzz. Hãy bao gồm ngôn ngữ, kiểu input dự kiến, và bất kỳ state nào phải được giữ qua các lần gọi. Một yêu cầu như “fuzz một constructor của JSON parser trong C++ nhưng giữ mọi test case deterministic và chỉ chạy trong bộ nhớ” hữu ích hơn rất nhiều so với một yêu cầu chung chung.

Yêu cầu coverage, không chỉ một harness có thể biên dịch

Lỗi thường gặp là một harness biên dịch được nhưng chỉ chạm vào một đường code. Để cải thiện harness-writing, hãy yêu cầu nó giải thích cách harness đi qua nhiều hành vi, cách nó tránh setup không hợp lệ, và cách nó giữ crash có thể tái lập. Nếu bạn đã biết những nhánh khó chạm tới, hãy nói thẳng để harness được xây dựng xoay quanh chúng.

Lặp lại trên xử lý input không hợp lệ và state

Sau bản nháp đầu tiên, hãy kiểm tra xem harness có loại bỏ input quá tay không, có rò state giữa các vòng lặp không, hay có phụ thuộc vào default ẩn không. Nếu có, hãy yêu cầu sửa để mở rộng coverage cho các operation hợp lệ trong khi vẫn giữ determinism. Điều này đặc biệt quan trọng với harness-writing usage trong các thư viện có nhiều constructor, parser lồng nhau, hoặc API có state.

Dùng bản nháp đầu làm prompt cho lần thứ hai

Cách tốt nhất để cải thiện đầu ra của harness-writing skill là coi harness đầu tiên như một baseline rồi tinh chỉnh quanh những gì nó còn thiếu: các nhánh sâu hơn, giới hạn side effect chặt hơn, hoặc phân chia input rõ hơn. Nếu bạn chia sẻ cả code sinh ra lẫn API mục tiêu, vòng lặp tiếp theo thường sẽ loại bỏ được phần phải đoán và tạo ra một fuzz target đáng tin cậy hơn.

Đánh giá & nhận xét

Chưa có đánh giá nào

Chia sẻ nhận xét của bạn

Đăng nhập để chấm điểm và để lại nhận xét cho skill này.

0/10000

Nhận xét mới nhất

Đang lưu...

Thêm skill trong danh mục này

dart-flutter-patterns

bởi affaan-m

dart-flutter-patterns là một kỹ năng thực tiễn về Dart và Flutter dành cho phát triển frontend, bao quát null safety, immutable state, async composition, cấu trúc widget, state management, điều hướng GoRouter, networking với Dio, testing và clean architecture. Hãy dùng hướng dẫn dart-flutter-patterns để chọn các pattern sẵn sàng cho production khi làm tính năng mới và refactor.

Frontend Development

Yêu thích 0GitHub 156.1k

vercel-react-native-skills

bởi vercel-labs

vercel-react-native-skills là skill cho React Native và Expo dành cho phát triển frontend chú trọng hiệu năng. Hãy dùng nó để cải thiện việc render danh sách, animation, điều hướng, các mẫu UI, quản lý state và thiết lập native module. Skill này cung cấp các quy tắc thực tiễn, hướng dẫn cài đặt và các mẫu sử dụng để xử lý các điểm nghẽn của ứng dụng mobile với ít phải đoán mò hơn.

Frontend Development

Yêu thích 0GitHub 25.9k

terraform-style-guide

bởi hashicorp

terraform-style-guide giúp tạo và rà soát Terraform HCL theo các quy ước style của HashiCorp, cách tổ chức file, và mặc định ưu tiên an toàn. Hãy dùng nó cho việc sinh mã theo kiểu Terraform-native, cấu trúc module, variables, outputs, và cấu hình an toàn hơn trong các repository thực tế.

Code Generation

Yêu thích 0GitHub 583

remotion-video-creation

bởi affaan-m

remotion-video-creation là một skill tập trung vào Remotion cho công việc video với React. Nó giúp giảm lỗi khi render nhờ 29 quy tắc bao phủ animation, assets, audio, captions, charts, compositions và transitions. Hãy dùng cho quy trình Video Editing, video giải thích theo mẫu, clip mạng xã hội và motion graphics dựa trên dữ liệu.

Video Editing

Yêu thích 0GitHub 156.2k

terraform-test

bởi hashicorp

terraform-test là một hướng dẫn thực tiễn để viết và chạy kiểm thử Terraform với các file .tftest.hcl, run blocks, assertions, mocks và quy trình thân thiện với CI. Dùng nó để xác thực đầu ra module, tham số tài nguyên, logic điều kiện, cũng như hành vi plan hoặc apply trước khi merge.

Code Generation

Yêu thích 0GitHub 583

open-source

bởi browser-use

Tra cứu tài liệu cho thư viện Python browser-use. Kỹ năng open-source hỗ trợ cài đặt, thiết lập, mã Agent và Browser, biến môi trường cho model, công cụ, tích hợp MCP, giám sát và hướng dẫn về Actor API phiên bản cũ.

Code Generation

Yêu thích 0GitHub 84.9k

source-driven-development

bởi addyosmani

Skill source-driven-development đặt việc viết code theo framework trên nền tài liệu chính thức, giúp bạn kiểm tra pattern trước khi triển khai. Đây là lựa chọn phù hợp cho cách dùng source-driven-development trong React, Vue, Next.js, Svelte, Angular và các stack tương tự khi tính đúng, nguồn gốc và quyết định phụ thuộc phiên bản là yếu tố quan trọng.

Code Generation

Yêu thích 0GitHub 18.8k

huggingface-llm-trainer

bởi huggingface

huggingface-llm-trainer giúp bạn huấn luyện hoặc fine-tune các mô hình ngôn ngữ và thị giác trên Hugging Face Jobs bằng TRL hoặc Unsloth. Dùng skill huggingface-llm-trainer cho SFT, DPO, GRPO, reward modeling, kiểm tra dataset, chọn GPU, lưu lên Hub, theo dõi bằng Trackio và xuất GGUF cho các quy trình phát triển backend.

Backend Development

Yêu thích 0GitHub 10.4k

azure-ai-openai-dotnet

bởi microsoft

azure-ai-openai-dotnet giúp lập trình viên .NET tích hợp Azure OpenAI với hướng dẫn thực tế về thiết lập, xác thực, chọn client và cách dùng cho chat, embeddings, hình ảnh, âm thanh và assistants. Skill này đặc biệt hữu ích cho phát triển API khi bạn cần một điểm khởi đầu Azure.AI.OpenAI có thể chạy được, chứ không chỉ là phần tóm tắt khái niệm.

API Development

Yêu thích 0GitHub 2.2k

plugin-forge

bởi softaworks

plugin-forge hỗ trợ tác giả plugin Claude Code dựng khung cấu trúc plugin, quản lý `plugin.json` và metadata marketplace, thêm thành phần như commands hoặc skills, kiểm thử cục bộ và giữ đồng bộ phiên bản bằng các script trợ giúp cùng tài liệu tham chiếu quy trình đi kèm.

Code Generation

Yêu thích 0GitHub 1.3k

tinybird-typescript-sdk-guidelines

bởi tinybirdco

tinybird-typescript-sdk-guidelines giúp lập trình viên backend cài đặt, cấu hình và dùng @tinybirdco/sdk để làm việc với Tinybird datasources, pipes, endpoints, connections và typed clients an toàn kiểu trong các dự án TypeScript. Nội dung còn có hướng dẫn chuyển đổi từ các file .datasource và .pipe kiểu cũ, cùng quy trình dev, build và deploy.

Backend Development

Yêu thích 0GitHub 16

variant-analysis

bởi trailofbits

variant-analysis giúp bạn tìm các lỗ hổng và lỗi tương tự trên toàn bộ codebase sau khi đã xác nhận một vấn đề. Hãy dùng nó để xây dựng truy vấn CodeQL hoặc Semgrep, đi theo quy trình ưu tiên nguyên nhân gốc rễ, và chạy một hướng dẫn variant-analysis tập trung cho công việc Security Audit. Nó phù hợp nhất cho việc truy tìm sau khi đã phát hiện, không phải cho vòng rà soát ban đầu trên diện rộng.

Security Audit

Yêu thích 0GitHub 0

dotnet-patterns

bởi affaan-m

dotnet-patterns là một hướng dẫn thực tiễn về các pattern .NET dành cho phát triển backend. Nó giúp bạn viết và review C# đúng phong cách hơn, với các mặc định tốt hơn cho tính bất biến, dependency tường minh, async/await và các dịch vụ ASP.NET Core dễ bảo trì. Hãy dùng khi tạo code, refactor và review nếu bạn muốn các pattern lặp lại nhất quán, thay vì lời khuyên chung chung.

Backend Development

Yêu thích 1GitHub 156.1k

swift-concurrency-6-2

bởi affaan-m

swift-concurrency-6-2 giúp bạn áp dụng Swift 6.2 Approachable Concurrency, sửa lỗi data race và quyết định khi nào nên giữ công việc trên MainActor hoặc đẩy sang nền bằng `@concurrent`. Hãy dùng hướng dẫn swift-concurrency-6-2 này cho các đợt chuyển đổi trong phát triển ứng dụng và backend.

Backend Development

Yêu thích 0GitHub 156.3k

rust-patterns

bởi affaan-m

rust-patterns là một cẩm nang thực hành cho phát triển Rust theo phong cách idiomatic, bao quát ownership, xử lý lỗi, traits, concurrency, ranh giới module và các lựa chọn thiết kế hướng backend để viết code an toàn, gọn gàng hơn.

Backend Development

Yêu thích 0GitHub 156.2k

pytorch-patterns

bởi affaan-m

pytorch-patterns giúp bạn viết, rà soát và gỡ lỗi mã PyTorch với các mẫu độc lập thiết bị, thí nghiệm có thể tái lập và xử lý tensor rõ ràng. Dùng skill pytorch-patterns để có vòng lặp huấn luyện gọn hơn, refactor mô hình dễ hơn và hướng dẫn PyTorch thực tiễn hơn.

Code Editing

Yêu thích 0GitHub 156.2k