সম্প্রতি গুগল উন্মোচন একটি ব্লগ পোস্টের মাধ্যমে ClusterFuzzLite প্রকল্প, যা ফাজিং পরীক্ষা আয়োজন করতে দেয় ক্রমাগত ইন্টিগ্রেশন সিস্টেমের অপারেশন পর্যায়ে সম্ভাব্য দুর্বলতা প্রাথমিক সনাক্তকরণের জন্য কোডের।
বর্তমানে, ClusterFuzz GitHub অ্যাকশনে পুল অনুরোধের ফাজ টেস্টিং স্বয়ংক্রিয় করতে ব্যবহার করা যেতে পারে, গুগল ক্লাউড বিল্ড এবং প্রু, কিন্তু এটা আশা করা হচ্ছে যে ভবিষ্যতে এটি অন্যান্য IC সিস্টেমের সাথে সামঞ্জস্যপূর্ণ হবে। প্রকল্পটি ClusterFuzz প্ল্যাটফর্মের উপর ভিত্তি করে তৈরি করা হয়েছে, ফাজিং টেস্ট ক্লাস্টারের কাজ সমন্বয় করার জন্য তৈরি করা হয়েছে এবং Apache 2.0 লাইসেন্সের অধীনে বিতরণ করা হয়েছে।
এটি উল্লেখ করা উচিত যে 2016 সালে Google-এর OSS-Fuzz পরিষেবা প্রবর্তনের পর, 500 টিরও বেশি প্রধান ওপেন সোর্স প্রকল্পগুলি ক্রমাগত ফাজিং টেস্টিং প্রোগ্রামে গৃহীত হয়েছিল। সম্পাদিত চেক থেকে, 6.500 টিরও বেশি নিশ্চিত দুর্বলতা দূর করা হয়েছে এবং 21.000 টিরও বেশি ত্রুটি সংশোধন করা হয়েছে।
ClusterFuzzLite সম্পর্কে
ClusterFuzzLite ফাজিং টেস্ট মেকানিজম তৈরি করে চলেছে প্রস্তাবিত পরিবর্তনের পিয়ার রিভিউ পর্বে সমস্যা চিহ্নিত করার ক্ষমতা সহ. ClusterFuzzLite ইতিমধ্যে systemd এবং curl প্রকল্পে পরিবর্তন পর্যালোচনা প্রক্রিয়া চালু করা হয়েছে, এবং এটি নতুন কোড যাচাইকরণের প্রাথমিক পর্যায়ে ব্যবহৃত স্ট্যাটিক বিশ্লেষক এবং লিন্টারগুলিতে সনাক্ত করা হয়নি এমন ত্রুটিগুলি সনাক্ত করা সম্ভব করেছে৷
আজ, আমরা ClusterFuzzLite ঘোষণা করতে পেরে আনন্দিত, একটি ক্রমাগত অস্পষ্ট সমাধান যা আগের চেয়ে দ্রুত দুর্বলতা খুঁজে পেতে CI/CD কর্মপ্রবাহের অংশ হিসেবে চলে। কোডের মাত্র কয়েকটি লাইনের সাহায্যে, GitHub ব্যবহারকারীরা ClusterFuzzLite কে তাদের ওয়ার্কফ্লোতে একীভূত করতে পারে এবং সফটওয়্যার সাপ্লাই চেইনের সামগ্রিক নিরাপত্তার উন্নতি করে, বাগগুলি তৈরি করার আগে বাগ ধরার অনুরোধ করতে পারে।
2016 সালে চালু হওয়ার পর থেকে, 500টিরও বেশি সমালোচনামূলক ওপেন সোর্স প্রকল্পগুলিকে Google-এর OSS-Fuzz প্রোগ্রামে একত্রিত করা হয়েছে, যার ফলে 6.500টিরও বেশি দুর্বলতা এবং 21.000টি কার্যকরী বাগ সংশোধন করা হয়েছে৷ ClusterFuzzLite OSS-Fuzz-এর সাথে হাত মিলিয়ে যায়, উন্নয়ন প্রক্রিয়ার অনেক আগে রিগ্রেশন ত্রুটি সনাক্ত করে।
ClusterFuzzLite C, C++, Java-তে প্রকল্পের বৈধতা সমর্থন করে (এবং অন্যান্য JVM-ভিত্তিক ভাষা), Go, Python, Rust, এবং Swift। LibFuzer ইঞ্জিন ব্যবহার করে ফাজিং পরীক্ষা করা হয়। অ্যাড্রেস স্যানিটাইজার, মেমরি স্যানিটাইজার এবং ইউবিসান (অনির্ধারিত আচরণ স্যানিটাইজার) সরঞ্জামগুলিও মেমরি ত্রুটি এবং অসঙ্গতি সনাক্ত করতে কল করা যেতে পারে।
মূল বৈশিষ্ট্যগুলির মধ্যে ClusterFuzzLite হাইলাইট উদাহরণস্বরূপ প্রস্তাবিত পরিবর্তন দ্রুত যাচাই কোড গ্রহণের আগে পর্যায়ে ত্রুটি খুঁজে পেতে, সেইসাথে ক্র্যাশ হওয়ার অবস্থার উপর রিপোর্ট ডাউনলোড করা, যাবার ক্ষমতা আরো উন্নত fuzzing পরীক্ষা কোড পরিবর্তন যাচাই করার পরে উপস্থিত না হওয়া গভীর ত্রুটিগুলি সনাক্ত করতে, পরীক্ষার সময় কোডের কভারেজ এবং মডুলার আর্কিটেকচার যা আপনাকে প্রয়োজনীয় কার্যকারিতা চয়ন করতে দেয় তা মূল্যায়ন করার জন্য কভারেজ রিপোর্ট তৈরি করা।
সিস্টেমড এবং কার্লিয়া সহ বড় প্রকল্পগুলি ইতিবাচক ফলাফল সহ কোড পর্যালোচনার সময় ClusterFuzzLite ব্যবহার করছে। কার্ল-এর লেখক ড্যানিয়েল স্টেনবার্গের মতে, “যখন মানব পর্যালোচকরা সম্মত হন এবং কোডটি অনুমোদন করেন এবং তাদের স্ট্যাটিক কোড বিশ্লেষক এবং লিন্টারগুলি আর কোনো সমস্যা সনাক্ত করতে পারে না, তখন অস্পষ্টতা আপনাকে কোডের পরিপক্কতা এবং দৃঢ়তার পরবর্তী স্তরে নিয়ে যায়। OSS-Fuzz এবং ClusterFuzzLite আমাদের সারাদিন, প্রতিদিন এবং প্রতিটি ব্যস্ততায় একটি মানসম্পন্ন প্রকল্প হিসাবে কার্ল বজায় রাখতে সাহায্য করে।
আমাদের অবশ্যই মনে রাখতে হবে যে অস্পষ্ট পরীক্ষাগুলি প্রকৃত ডেটার কাছাকাছি ইনপুট ডেটার সমস্ত ধরণের র্যান্ডম সংমিশ্রণের একটি স্ট্রীম তৈরি করে (যেমন এলোমেলো ট্যাগ প্যারামিটার সহ এইচটিএমএল পৃষ্ঠা, অস্বাভাবিক শিরোনাম সহ ফাইল বা ছবি ইত্যাদি) এবং প্রক্রিয়ায় সম্ভাব্য ব্যর্থতাগুলি সংশোধন করে৷
যদি কোনো ক্রম ব্যর্থ হয় বা প্রত্যাশিত প্রতিক্রিয়ার সাথে মেলে না, এই আচরণটি সম্ভবত একটি বাগ বা দুর্বলতা নির্দেশ করে।
পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন, আপনি বিশদ পরীক্ষা করতে পারেন নীচের লিঙ্কে।