Google uzluksiz integratsiya tizimlarida yuzaga kelishi mumkin bo'lgan zaifliklarni erta aniqlash uchun kodni noaniq testdan o'tkazish imkonini beruvchi ClusterFuzzLite loyihasini taqdim etdi. Hozirda ClusterFuzz-dan GitHub Actions, Google Cloud Build va Prow-da tortishish so'rovlarini fuzz testini avtomatlashtirish uchun foydalanish mumkin, ammo kelajakda boshqa CI tizimlari uchun qo'llab-quvvatlash qo'shilishi kutilmoqda. Loyiha fuzz test klasterlarini muvofiqlashtirish uchun mo'ljallangan ClusterFuzz platformasiga asoslangan va Apache 2.0 litsenziyasi ostida litsenziyalangan.
Qayd etilishicha, 2016-yilda Google OSS-Fuzz xizmatini joriy qilganidan beri 500 dan ortiq muhim ochiq kodli loyihalar doimiy fuzzing test dasturiga qabul qilingan. Ushbu tekshiruvlar asosida 6500 dan ortiq tasdiqlangan zaifliklar bartaraf etildi va 21 000 dan ortiq xatoliklar tuzatildi. ClusterFuzzLite taklif qilinayotgan o'zgarishlarni ko'rib chiqishda muammolarni avvalroq aniqlash imkonini beruvchi noaniq test mexanizmlarini ishlab chiqishda davom etmoqda. ClusterFuzzLite allaqachon tizimli va curl loyihalari uchun o'zgarishlarni ko'rib chiqish jarayonlariga birlashtirilgan va yangi kodni ko'rib chiqishning dastlabki bosqichida foydalanilgan statik analizatorlar va linterlar tomonidan o'tkazib yuborilgan xatolarni aniqlash imkonini berdi.
ClusterFuzzLite C, C++, Java (va boshqa JVM-ga asoslangan tillar), Go, Python, Rust va Swift-da loyihalarni tekshirishni qo'llab-quvvatlaydi. Fuzzing testi LibFuzzer dvigateli yordamida amalga oshiriladi. AddressSanitizer, MemorySanitizer va UBSan (UndefinedBehaviorSanitizer) xotira xatolari va anomaliyalarini aniqlash uchun ham ishlatilishi mumkin.
ClusterFuzzLite ning asosiy xususiyatlari quyidagilardan iborat: kod qabul qilinishidan oldin xatolarni aniqlash uchun taklif qilingan o'zgarishlarni tezkor ko'rib chiqish; halokat holatlari bo'yicha hisobotlarni yuklab olish; kod o'zgarishlarini ko'rib chiqqandan keyin yuzaga kelmagan chuqurroq xatolarni aniqlash uchun yanada ilg'or fuzzing testiga o'tish qobiliyati; sinov davomida kod qamrovini baholash uchun qamrov hisobotlarini yaratish; va sizga kerakli funksionallikni tanlash imkonini beruvchi modulli arxitektura.
Eslatib o‘tamiz, fuzzing testi har xil turdagi tasodifiy kiritish ma’lumotlari birikmalarining oqimini yaratishni o‘z ichiga oladi, ular haqiqiy ma’lumotlarga (masalan, tasodifiy teg parametrlari bo‘lgan HTML sahifalar, anomal sarlavhali arxivlar yoki tasvirlar va boshqalar) va qayta ishlash jarayonida yuzaga kelishi mumkin bo‘lgan nosozliklarni qayd etishni o‘z ichiga oladi. Agar biron-bir ketma-ketlik avariyaga olib kelsa yoki kutilgan javobga mos kelmasa, bu xatti-harakatlar xato yoki zaiflikdan dalolat beradi.
Manba: opennet.ru
