ጉግል ክላስተር ፉዝላይት ፕሮጄክትን አስተዋውቋል፣ይህም ተከታታይ የውህደት ስርዓቶች በሚሰሩበት ጊዜ ሊከሰቱ የሚችሉ ተጋላጭነቶችን አስቀድሞ ለማወቅ የኮድ ፍተሻን ማደራጀት ያስችላል። በአሁኑ ጊዜ ClusterFuzz በ GitHub Actions፣ Google Cloud Build እና Prow ውስጥ የfuzz የፍላጎት ጥያቄዎችን በራስ ሰር ለመስራት ጥቅም ላይ ሊውል ይችላል፣ነገር ግን ለሌሎች CI ስርዓቶች ድጋፍ ወደፊት ይጠበቃል። ፕሮጀክቱ በClusterFuzz መድረክ ላይ የተመሰረተ ነው፣የደበዘዙ የሙከራ ስብስቦችን ስራ ለማስተባበር የተፈጠረ እና በ Apache 2.0 ፍቃድ ስር ይሰራጫል።
ጎግል የ OSS-Fuzz አገልግሎትን እ.ኤ.አ. በተደረገው ሙከራም ከ2016 በላይ የተረጋገጡ ተጋላጭነቶች የተወገዱ ሲሆን ከ500 ሺህ በላይ ስህተቶችም ተስተካክለዋል። ClusterFuzzLite በታቀዱት ለውጦች ግምገማ ደረጃ ችግሮችን የመለየት ችሎታ ያለው አሻሚ የሙከራ ዘዴዎችን ማዳበሩን ቀጥሏል። ClusterFuzzLite በስርአት እና ከርል ፕሮጄክቶች ውስጥ በለውጥ ግምገማ ሂደቶች ውስጥ አስቀድሞ ተተግብሯል፣ እና አዲስ ኮድን ለመፈተሽ የመጀመሪያ ደረጃ ላይ ጥቅም ላይ የዋሉ በስታቲክ ተንታኞች እና ሊንተሮች ያመለጡ ስህተቶችን ለመለየት አስችሏል።
ClusterFuzzLite በC፣ C++፣ Java (እና ሌሎች JVM ላይ የተመሰረቱ ቋንቋዎች)፣ Go፣ Python፣ Rust እና Swift ውስጥ የፕሮጀክት ግምገማን ይደግፋል። የFuzzing ሙከራ የሚካሄደው LibFuzzer ሞተርን በመጠቀም ነው። የአድራሻ ሳኒታይዘር፣ የማህደረ ትውስታ ሳኒቲዘር እና ዩቢሳን (ያልተገለጸ ባህሪ ሳኒታይዘር) መሳሪያዎች የማስታወስ ስህተቶችን እና ያልተለመዱ ነገሮችን ለመለየት ሊጠሩ ይችላሉ።
የClusterFuzzLite ቁልፍ ባህሪያት፡ ከኮድ ተቀባይነት በፊት ስህተቶችን ለማግኘት የታቀዱ ለውጦች ፈጣን ፍተሻ; በአደጋ ሁኔታዎች ላይ ሪፖርቶችን ማውረድ; የኮድ ለውጦችን ካረጋገጡ በኋላ ያልተከሰቱ ጥልቅ ስህተቶችን ለመለየት ወደ የላቀ ፍዝዝ ሙከራ የመሄድ ችሎታ; በፈተና ወቅት የኮድ ሽፋንን ለመገምገም የሽፋን ሪፖርቶችን ማመንጨት; አስፈላጊውን ተግባር እንዲመርጡ የሚያስችልዎ ሞዱል አርክቴክቸር።
ግራ የሚያጋባ ሙከራ ሁሉንም አይነት የዘፈቀደ የግብዓት ውህዶች ዥረት ማመንጨትን እና ለእውነተኛ ውሂብ ቅርብ የሆኑ (ለምሳሌ የዘፈቀደ መለያ ግቤቶች ያላቸው የኤችቲኤምኤል ገፆች፣ ማህደሮች ወይም ምስሎች ከማይታወቁ አርዕስቶች ፣ ወዘተ.) እና መመዝገብን የሚያካትት መሆኑን እናስታውስ። በሂደቱ ውስጥ አለመሳካቶች የእነሱ ሂደት። አንድ ቅደም ተከተል ከተሰናከለ ወይም ከተጠበቀው ምላሽ ጋር የማይዛመድ ከሆነ ይህ ባህሪ ስህተትን ወይም ተጋላጭነትን ሊያመለክት ይችላል።
ምንጭ: opennet.ru