Google huet de ClusterFuzzLite Projet agefouert, deen et erlaabt Fuzzing Tester vu Code fir fréizäiteg Detektioun vu potenzielle Schwachstelle während der Operatioun vu kontinuéierlechen Integratiounssystemer z'organiséieren. De Moment kann ClusterFuzz benotzt ginn fir Fuzz Testen vun Pull Ufroen an GitHub Actions, Google Cloud Build a Prow ze automatiséieren, awer Ënnerstëtzung fir aner CI Systemer gëtt an Zukunft erwaart. De Projet baséiert op der ClusterFuzz Plattform, erstallt fir d'Aarbecht vun fuzzing Testcluster ze koordinéieren, a gëtt ënner der Apache 2.0 Lizenz verdeelt.
Et gëtt bemierkt datt nodeems Google den OSS-Fuzz Service am Joer 2016 agefouert huet, méi wéi 500 wichteg Open Source Projeten an de kontinuéierleche Fuzzing Testprogramm ugeholl goufen. Baséierend op den duerchgefouerten Tester goufen méi wéi 6500 bestätegt Schwachstelle eliminéiert a méi wéi 21 Tausend Feeler korrigéiert. ClusterFuzzLite entwéckelen weider fuzzing Testmechanismen mat der Fäegkeet fir Probleemer fréier an der Iwwerpréiwungsstadium vu proposéierten Ännerungen z'identifizéieren. ClusterFuzzLite gouf schonn an de Changement review Prozesser an de Systemd a Curl Projeten implementéiert, an huet et méiglech gemaach Fehler ze identifizéieren déi verpasst ginn duerch statesch Analysatoren a Linters, déi an der éischter Etapp vun der Iwwerpréiwung vum neie Code benotzt ginn.
ClusterFuzzLite ënnerstëtzt Projet Iwwerpréiwung an C, C++, Java (an aner JVM-baséiert Sproochen), Go, Python, Rust a Swift. Fuzzing Tester gëtt mam LibFuzzer Motor duerchgefouert. D'AddressSanitizer, MemorySanitizer, an UBSan (UndefinedBehaviorSanitizer) Tools kënnen och genannt ginn fir Erënnerungsfehler an Anomalien z'identifizéieren.
Schlëssel Fonctiounen vun ClusterFuzzLite: séier Kontroll vun proposéiert Ännerungen Feeler virun Code Akzeptanz ze fannen; eroflueden Berichter iwwer Crashbedéngungen; d'Kapazitéit fir weider op méi fortgeschratt Fuzzing Tester ze goen fir méi déif Feeler z'identifizéieren, déi net no der Iwwerpréiwung vun de Codeännerungen optrieden; Generatioun vun Ofdeckungsberichter fir Codedeckung während Testen ze bewäerten; modulare Architektur déi Iech erlaabt déi erfuerderlech Funktionalitéit ze wielen.
Loosst eis drun erënneren datt fuzzing Testen involvéiert d'Generatioun vun engem Stroum vun all Zorte vun zoufälleg Kombinatioune vun Inputdaten déi no bei realen Donnéeën sinn (zum Beispill HTML Säiten mat zoufälleg Tag-Parameteren, Archiven oder Biller mat anomaleschen Titelen, etc.), an opzehuelen méiglech Feeler am Prozess vun hirer Veraarbechtung. Wann eng Sequenz crasht oder net mat der erwaarter Äntwert entsprécht, dann ass dëst Verhalen héich wahrscheinlech e Feeler oder Schwachstelle ze weisen.
Source: opennet.ru