Gipaila sa Google ang ClusterFuzzLite nga proyekto, nga nagtugot sa pag-organisar sa fuzzing testing sa code alang sa sayo nga pag-ila sa mga potensyal nga kahuyangan sa panahon sa operasyon sa padayon nga integration system. Sa pagkakaron, ang ClusterFuzz mahimong magamit sa pag-automate sa fuzz testing sa mga pull request sa GitHub Actions, Google Cloud Build, ug Prow, apan ang suporta alang sa ubang mga CI system gilauman sa umaabot. Ang proyekto gibase sa plataporma sa ClusterFuzz, nga gimugna aron sa pag-coordinate sa buhat sa fuzzing testing clusters, ug giapod-apod ubos sa Apache 2.0 nga lisensya.
Namatikdan nga pagkahuman gipaila sa Google ang serbisyo sa OSS-Fuzz kaniadtong 2016, kapin sa 500 ka hinungdanon nga open source nga mga proyekto ang gidawat sa padayon nga programa sa pagsulay sa fuzzing. Base sa mga pagsulay nga gihimo, labaw pa sa 6500 nga nakumpirma nga mga kahuyangan ang giwagtang ug labaw pa sa 21 ka libo nga mga sayup ang natul-id. Ang ClusterFuzzLite nagpadayon sa paghimo og mga mekanismo sa pagsulay nga makalibog nga adunay katakus sa pag-ila sa mga problema sa sayo pa sa yugto sa pagsusi sa gisugyot nga mga pagbag-o. Gipatuman na ang ClusterFuzzLite sa mga proseso sa pagrepaso sa pagbag-o sa mga proyekto sa systemd ug curl, ug gihimong posible nga mailhan ang mga sayup nga wala makuha sa mga static nga analisador ug linter nga gigamit sa una nga yugto sa pagsusi sa bag-ong code.
Gisuportahan sa ClusterFuzzLite ang pagrepaso sa proyekto sa C, C++, Java (ug uban pang mga sinultian nga nakabase sa JVM), Go, Python, Rust, ug Swift. Ang Fuzzing testing gihimo gamit ang LibFuzzer engine. Ang AddressSanitizer, MemorySanitizer, ug UBSan (UndefinedBehaviorSanitizer) nga mga himan mahimo usab nga tawagan aron mahibal-an ang mga sayup sa memorya ug anomaliya.
Pangunang mga bahin sa ClusterFuzzLite: dali nga pagsusi sa gisugyot nga mga pagbag-o aron makit-an ang mga sayup sa dili pa dawaton ang code; pag-download sa mga taho sa mga kondisyon sa pagkahagsa; ang abilidad sa pagpadayon sa mas abante nga fuzzing testing sa pag-ila sa mas lawom nga mga sayop nga wala motungha human sa pagsusi sa code kausaban; paghimo og mga report sa coverage aron masusi ang coverage sa code atol sa pagsulay; modular nga arkitektura nga nagtugot kanimo sa pagpili sa gikinahanglan nga gamit.
Atong hinumdoman nga ang fuzzing testing naglakip sa pagmugna og stream sa tanang matang sa random nga kombinasyon sa input data nga duol sa tinuod nga data (pananglitan, html page nga adunay random tag parameters, archive o mga hulagway nga adunay anomalous nga mga titulo, ug uban pa), ug posible ang pagrekord. mga kapakyasan sa proseso sa ilang pagproseso. Kung ang usa ka han-ay nahagsa o ββdili motakdo sa gipaabot nga tubag, nan kini nga kinaiya lagmit nga nagpakita sa usa ka bug o kahuyang.
Source: opennet.ru