Tha Google air am pròiseact ClusterFuzzLite a thoirt a-steach, a leigeas le deuchainn còd a chuir air dòigh airson so-leòntachd a lorg tràth fhad ‘s a tha siostaman amalachaidh leantainneach ag obair. An-dràsta, faodar ClusterFuzz a chleachdadh gus fèin-ghluasad a dhèanamh air deuchainnean fuzz air iarrtasan tarraing ann an GitHub Actions, Google Cloud Build, agus Prow, ach tha dùil ri taic airson siostaman CI eile san àm ri teachd. Tha am pròiseact stèidhichte air an àrd-ùrlar ClusterFuzz, a chaidh a chruthachadh gus obair cruinneachaidhean deuchainn fuzzing a cho-òrdanachadh, agus tha e air a chuairteachadh fo chead Apache 2.0.
Thathas a’ toirt fa-near, às deidh do Google an t-seirbheis OSS-Fuzz a thoirt a-steach ann an 2016, gun deach gabhail ri còrr air 500 pròiseact stòr fosgailte cudromach a-steach don phrògram deuchainn fuzzing leantainneach. Stèidhichte air na deuchainnean a chaidh a dhèanamh, chaidh cuir às do bharrachd air 6500 so-leòntachd dearbhte agus chaidh còrr air 21 mìle mearachd a cheartachadh. Tha ClusterFuzzLite a’ leantainn air adhart a’ leasachadh uidheamachdan deuchainn fuzzing leis a’ chomas duilgheadasan a chomharrachadh nas tràithe aig ìre ath-bhreithneachaidh nan atharrachaidhean a tha san amharc. Chaidh ClusterFuzzLite a chuir an gnìomh mar-thà anns na pròiseasan ath-bhreithneachaidh atharrachaidh anns na pròiseactan systemd agus curl, agus rinn e comasach mearachdan a chomharrachadh a chaidh a chall le sgrùdairean statach agus lannan a chaidh a chleachdadh aig a’ chiad ìre de sgrùdadh còd ùr.
Tha ClusterFuzzLite a’ toirt taic do sgrùdadh pròiseict ann an C, C ++, Java (agus cànanan eile stèidhichte air JVM), Go, Python, Rust, agus Swift. Bithear a’ dèanamh deuchainn fuzzing a’ cleachdadh an einnsean LibFuzzer. Faodar na h-innealan AddressSanitizer, MemorySanitizer, agus UBSan (UndefinedBehaviorSanitizer) a ghairm cuideachd gus mearachdan cuimhne agus neo-riaghailteachdan aithneachadh.
Prìomh fheartan ClusterFuzzLite: sgrùdadh sgiobalta air atharrachaidhean a chaidh a mholadh gus mearachdan a lorg mus tèid gabhail ri còd; luchdachadh sìos aithisgean mu shuidheachadh tubaist; an comas gluasad air adhart gu deuchainn fuzzing nas adhartaiche gus mearachdan nas doimhne a chomharrachadh nach tàinig am bàrr às deidh sgrùdadh a dhèanamh air na h-atharrachaidhean còd; gineadh aithisgean còmhdaich gus còmhdach còd a mheasadh rè deuchainn; ailtireachd modular a leigeas leat an gnìomh riatanach a thaghadh.
Cuimhnich gu bheil deuchainnean fuzzing a’ toirt a-steach a bhith a’ gineadh sruth de gach seòrsa measgachadh air thuaiream de dhàta cuir a-steach a tha faisg air fìor dhàta (mar eisimpleir, duilleagan html le paramadairean tagaichean air thuaiream, tasglannan no ìomhaighean le tiotalan neo-riaghailteach, msaa), agus clàradh comasach. fàilligidhean sa phròiseas aca giollachd. Ma bhuaileas sreath no nach eil e a’ freagairt ris an fhreagairt ris a bheil dùil, tha an giùlan seo glè choltach a bhith a’ nochdadh biast no so-leòntachd.
Source: fosgailtenet.ru