Google үздіксіз интеграциялық жүйелердің жұмысы кезінде ықтимал осалдықтарды ерте анықтау үшін кодтың fuzzing тестілеуін ұйымдастыруға мүмкіндік беретін ClusterFuzzLite жобасын ұсынды. Қазіргі уақытта ClusterFuzz GitHub Actions, Google Cloud Build және Prow қолданбаларында тарту сұрауларының анық емес тестілеуін автоматтандыру үшін пайдаланылуы мүмкін, бірақ болашақта басқа CI жүйелеріне қолдау күтілуде. Жоба fuzzing тестілеу кластерлерінің жұмысын үйлестіру үшін жасалған ClusterFuzz платформасына негізделген және Apache 2.0 лицензиясы бойынша таратылады.
Google 2016 жылы OSS-Fuzz қызметін енгізгеннен кейін 500-ден астам маңызды ашық бастапқы жобалар үздіксіз fuzzing тестілеу бағдарламасына қабылданғаны атап өтілді. Өткізілген сынақтар негізінде 6500-ден астам расталған осалдықтар жойылды және 21 мыңнан астам қате түзетілді. ClusterFuzzLite ұсынылған өзгерістерді қарастыру сатысында проблемаларды ертерек анықтау мүмкіндігімен тестілеу механизмдерін әзірлеуді жалғастыруда. ClusterFuzzLite жүйелік және curl жобаларындағы өзгерістерді қарастыру процестеріне әлдеқашан енгізілген және жаңа кодты тексерудің бастапқы кезеңінде пайдаланылған статикалық анализаторлар мен линтерлер жіберіп алған қателерді анықтауға мүмкіндік берді.
ClusterFuzzLite C, C++, Java (және басқа JVM негізіндегі тілдер), Go, Python, Rust және Swift тілдерінде жобаны шолуды қолдайды. Бұлыңғырлық сынағы LibFuzzer қозғалтқышының көмегімен жүзеге асырылады. AddressSanitizer, MemorySanitizer және UBSan (UndefinedBehaviorSanitizer) құралдарын жад қателері мен ауытқуларды анықтау үшін де шақыруға болады.
ClusterFuzzLite негізгі мүмкіндіктері: кодты қабылдау алдында қателерді табу үшін ұсынылған өзгерістерді жылдам тексеру; апат жағдайлары туралы есептерді жүктеу; код өзгерістерін тексергеннен кейін пайда болмаған тереңірек қателерді анықтау үшін неғұрлым жетілдірілген fuzzing тестілеуге көшу мүмкіндігі; тестілеу кезінде кодты қамтуды бағалау үшін қамту есептерін құру; қажетті функционалдылықты таңдауға мүмкіндік беретін модульдік архитектура.
Еске салайық, бұлдыр тестілеу нақты деректерге жақын кіріс деректерінің кездейсоқ комбинацияларының барлық түрлерінің ағынын генерациялауды (мысалы, кездейсоқ тег параметрлері бар html беттері, мұрағаттар немесе аномальды тақырыптары бар кескіндер және т.б.) және мүмкін жазуды қамтиды. оларды өңдеу процесіндегі сәтсіздіктер. Егер реттілік бұзылса немесе күтілетін жауапқа сәйкес келмесе, бұл әрекет қатені немесе осалдықты көрсетуі ықтимал.
Ақпарат көзі: opennet.ru
