Google лоиҳаи ClusterFuzzLite-ро муаррифӣ кард, ки имкон медиҳад санҷиши фуҷури код барои ошкор кардани барвақти осебпазириҳои эҳтимолӣ дар ҷараёни системаҳои ҳамгироии муттасил имкон диҳад. Дар айни замон, ClusterFuzz-ро барои автоматикунонии санҷиши фуҷури дархостҳои кашидан дар GitHub Actions, Google Cloud Build ва Prow истифода бурдан мумкин аст, аммо интизор меравад, ки дастгирӣ барои дигар системаҳои CI дар оянда илова карда шавад. Лоиҳа ба платформаи ClusterFuzz асос ёфтааст, ки барои ҳамоҳангсозии кластерҳои санҷиши fuzz тарҳрезӣ шудааст ва тибқи иҷозатномаи Apache 2.0 иҷозатнома дорад.
Қайд карда мешавад, ки аз замони ҷорӣ кардани хидмати OSS-Fuzz аз ҷониби Google дар соли 2016, зиёда аз 500 лоиҳаҳои муҳими кушодаасос ба барномаи санҷиши пайвастаи fuzzing қабул карда шуданд. Дар асоси ин санҷишҳо, беш аз 6500 осебпазирии тасдиқшуда ҳал карда шуданд ва зиёда аз 21 хатогиҳо ислоҳ карда шуданд. ClusterFuzzLite таҳияи механизмҳои санҷиши ноустуворро идома медиҳад, ки имкон медиҳад, ки пештар ошкор кардани мушкилот ҳангоми баррасии тағйироти пешниҳодшуда имкон диҳад. ClusterFuzzLite аллакай ба равандҳои баррасии тағирот барои лоиҳаҳои системавӣ ва curl муттаҳид карда шудааст ва имкон дод, ки хатогиҳое, ки аз ҷониби анализаторҳои статикӣ ва линтерҳо, ки дар марҳилаи ибтидоии баррасии коди нав истифода мешаванд, гум карда шаванд.
ClusterFuzzLite тасдиқи лоиҳаро дар C, C++, Java (ва дигар забонҳои JVM асосёфта), Go, Python, Rust ва Swift дастгирӣ мекунад. Санҷиши fuzzing бо истифода аз муҳаррики LibFuzzer анҷом дода мешавад. AddressSanitizer, MemorySanitizer ва UBsan (UndefinedBehaviorSanitizer) инчунин метавонанд барои муайян кардани хатогиҳои хотира ва аномалияҳо истифода шаванд.
Хусусиятҳои асосии ClusterFuzzLite иборатанд аз: баррасии зуди тағйироти пешниҳодшуда барои муайян кардани хатогиҳо пеш аз қабули код; зеркашии гузоришҳо дар бораи ҳолати садама; қобилияти гузаштан ба санҷиши мукаммалтар барои муайян кардани хатогиҳои амиқтар, ки пас аз баррасии тағйироти код ошкор нашудаанд; тавлиди гузоришҳои фарогирӣ барои арзёбии фарогирии код ҳангоми санҷиш; ва меъмории модулӣ, ки ба шумо имкон медиҳад, ки функсияи ба шумо лозимиро интихоб кунед.
Ёдовар мешавем, ки санҷиши ноустувор тавлиди ҷараёни ҳама гуна омезиши додаҳои тасодуфии вурудро дар бар мегирад, ки тақрибан ба маълумоти воқеӣ (масалан, саҳифаҳои HTML бо параметрҳои барчаспҳои тасодуфӣ, бойгонӣ ё тасвирҳо бо унвонҳои аномалӣ ва ғ.) ва сабти нокомиҳои эҳтимолиро ҳангоми коркард дар бар мегирад. Агар ягон пайдарпаӣ боиси садама гардад ё ба посухи пешбинишуда мувофиқат накунад, пас ин рафтор эҳтимоли зиёд нишонаи хато ё осебпазирӣ аст.
Манбаъ: opennet.ru
