Google wis ngenalake proyek ClusterFuzzLite, sing ngidini ngatur uji coba kode kanggo deteksi awal kerentanan potensial sajrone operasi sistem integrasi sing terus-terusan. Saiki, ClusterFuzz bisa digunakake kanggo ngotomatisasi tes fuzz saka panjalukan tarik ing GitHub Actions, Google Cloud Build, lan Prow, nanging dhukungan kanggo sistem CI liyane samesthine ing mangsa ngarep. Proyèk iki adhedhasar platform ClusterFuzz, digawe kanggo koordinasi karya kluster testing fuzzing, lan disebarake miturut lisensi Apache 2.0.
Kacathet yen sawise Google ngenalake layanan OSS-Fuzz ing taun 2016, luwih saka 500 proyek open source sing penting ditampa ing program testing fuzzing sing terus-terusan. Adhedhasar tes sing ditindakake, luwih saka 6500 kerentanan sing dikonfirmasi diilangi lan luwih saka 21 ewu kesalahan didandani. ClusterFuzzLite terus ngembangake mekanisme uji coba sing ora jelas kanthi kemampuan kanggo ngenali masalah sadurunge ing tahap mriksa owah-owahan sing diusulake. ClusterFuzzLite wis dileksanakake ing pangolahan review pangowahan ing project systemd lan curl, lan wis bisa kanggo ngenali kasalahan ora kejawab dening analis statis lan linter digunakake ing tataran awal mriksa kode anyar.
ClusterFuzzLite ndhukung review proyek ing C, C ++, Java (lan basa basis JVM liyane), Go, Python, Rust, lan Swift. Pengujian fuzzing ditindakake nggunakake mesin LibFuzzer. Piranti AddressSanitizer, MemorySanitizer, lan UBSan (UndefinedBehaviorSanitizer) uga bisa diarani kanggo ngenali kesalahan lan anomali memori.
Fitur utama ClusterFuzzLite: mriksa cepet owah-owahan sing diusulake kanggo nemokake kesalahan sadurunge nampa kode; ndownload laporan babagan kahanan kacilakan; kemampuan kanggo pindhah menyang testing fuzzing sing luwih maju kanggo ngenali kesalahan sing luwih jero sing ora katon sawise mriksa owah-owahan kode; generasi laporan jangkoan kanggo netepke jangkoan kode sak testing; arsitektur modular sing ngijini sampeyan kanggo milih fungsi sing dibutuhake.
Elinga yen pengujian fuzzing kalebu ngasilake aliran kabeh jinis kombinasi acak data input sing cedhak karo data nyata (contone, kaca html kanthi parameter tag acak, arsip utawa gambar kanthi judhul anomali, lsp.), lan bisa ngrekam gagal ing proses Processing sing. Yen urutan tubrukan utawa ora cocog karo respon sing dikarepake, prilaku iki bisa uga nuduhake bug utawa kerentanan.
Source: opennet.ru