Google dia nampiditra ny tetikasa ClusterFuzzLite, izay ahafahan'ny fandaminana ny fitsapam-pahaizana manjavozavo ny kaody mba hamantarana mialoha ny mety ho fahalemena mandritra ny fiasan'ny rafitra fampidirana mitohy. Amin'izao fotoana izao, ny ClusterFuzz dia azo ampiasaina amin'ny fanaovana automatique fitiliana fuzz amin'ny fangatahana fisintonana ao amin'ny GitHub Actions, Google Cloud Build, ary Prow, fa ny fanohanana ny rafitra CI hafa dia andrasana amin'ny ho avy. Ny tetikasa dia mifototra amin'ny sehatra ClusterFuzz, noforonina mba handrindrana ny asan'ny kluster fanaovana fitiliana fuzzing, ary zaraina amin'ny alΓ lan'ny lisansa Apache 2.0.
Marihina fa taorian'ny nampidiran'i Google ny tolotra OSS-Fuzz tamin'ny taona 2016, dia tetik'asa loharano misokatra maherin'ny 500 no nekena ho ao anatin'ny fandaharam-pitsapana tsy mitsaha-mitombo. Miorina amin'ny fitsapana natao, mihoatra ny 6500 no voamarina fa marefo no nesorina ary mihoatra ny 21 arivo ny fahadisoana voahitsy. ClusterFuzzLite dia manohy mamolavola mekanika fitsapana manjavozavo miaraka amin'ny fahafahana mamantatra ireo olana aloha amin'ny dingana famerenana amin'ny fanovana natolotra. ClusterFuzzLite dia efa nampiharina tamin'ny fizotry ny famerenana ny fanovana ao amin'ny tetikasa systemd sy curl, ary nahafahana mamantatra ireo lesoka tsy hitan'ny mpanadihady static sy linter ampiasaina amin'ny dingana voalohany amin'ny fanamarinana kaody vaovao.
ClusterFuzzLite dia manohana ny famerenana ny tetikasa amin'ny C, C ++, Java (sy ny fiteny hafa mifototra amin'ny JVM), Go, Python, Rust, ary Swift. Ny fitiliana fuzzing dia atao amin'ny alΓ lan'ny motera LibFuzzer. Ny fitaovana AddressSanitizer, MemorySanitizer, ary UBSan (UndefinedBehaviorSanitizer) dia azo antsoina koa mba hamantarana ny fahadisoana sy ny tsy mety.
Ny endri-javatra manan-danja amin'ny ClusterFuzzLite: fanamarinana haingana ny fanovana natolotra mba hahitana lesoka alohan'ny fanekena ny kaody; fampidinana tatitra momba ny fianjerana; ny fahafahana mandroso mankany amin'ny fitsapana fuzzing mandroso kokoa mba hamantarana ny fahadisoana lalina izay tsy nipoitra taorian'ny nijerena ny fiovan'ny code; famokarana tatitra momba ny fandrakofana mba hanombanana ny fandrakofana kaody mandritra ny fitsapana; rafitra modular izay ahafahanao misafidy ny fiasa ilaina.
Aoka hotsaroantsika fa ny fanaovana fitiliana manjavozavo dia ahitana ny famokarana karazana fitambarana kisendrasendra isan-karazany amin'ny angona fampidirana izay manakaiky ny angona tena izy (ohatra, pejy html misy mari-pamantarana marika kisendrasendra, arisiva na sary misy lohateny tsy misy dikany, sns.), ary azo atao ny firaketana an-tsoratra. ny tsy fahombiazana eo amin'ny fizotran'izy ireo. Raha mianjera na tsy mifanaraka amin'ny valiny andrasana ny filaharana iray, dia azo inoana fa io fihetsika io dia manondro bibikely na vulnerable.
Source: opennet.ru