તાજેતરમાં ગૂગલે અનાવરણ કર્યું બ્લોગ પોસ્ટ દ્વારા ClusterFuzzLite પ્રોજેક્ટ, જે ફઝિંગ ટેસ્ટનું આયોજન કરવાની મંજૂરી આપે છે સતત સંકલન પ્રણાલીઓના સંચાલનના તબક્કામાં સંભવિત નબળાઈઓની વહેલી શોધ માટે કોડનો.
હાલમાં, ClusterFuzz GitHub ક્રિયાઓમાં પુલ વિનંતીઓના ફઝ પરીક્ષણને સ્વચાલિત કરવા માટે વાપરી શકાય છે, Google ક્લાઉડ બિલ્ડ અને પ્રો, પરંતુ એવી અપેક્ષા રાખવામાં આવે છે કે ભવિષ્યમાં તે અન્ય IC સિસ્ટમો સાથે સુસંગત હશે. આ પ્રોજેક્ટ ક્લસ્ટરફઝ પ્લેટફોર્મ પર આધારિત છે, જે ફઝિંગ ટેસ્ટ ક્લસ્ટરોના કાર્યને સંકલન કરવા માટે બનાવવામાં આવ્યું છે, અને અપાચે 2.0 લાયસન્સ હેઠળ વિતરિત કરવામાં આવે છે.
એ નોંધવું જોઈએ કે 2016 માં Google દ્વારા OSS-Fuzz સેવાની રજૂઆત પછી, 500 થી વધુ મોટા ઓપન સોર્સ પ્રોજેક્ટ્સને સતત ફઝિંગ ટેસ્ટિંગ પ્રોગ્રામમાં સ્વીકારવામાં આવ્યા હતા. હાથ ધરવામાં આવેલ તપાસમાંથી, 6.500 થી વધુ પુષ્ટિ થયેલ નબળાઈઓ દૂર કરવામાં આવી છે અને 21.000 થી વધુ ભૂલો સુધારવામાં આવી છે.
ClusterFuzzLite વિશે
ClusterFuzzLite ફઝિંગ ટેસ્ટ મિકેનિઝમ્સ વિકસાવવાનું ચાલુ રાખે છે સૂચિત ફેરફારોના પીઅર સમીક્ષા તબક્કામાં અગાઉ સમસ્યાઓ ઓળખવાની ક્ષમતા સાથે. ClusterFuzzLite પહેલાથી જ systemd અને curl પ્રોજેક્ટ્સમાં ફેરફાર સમીક્ષા પ્રક્રિયાઓમાં રજૂ કરવામાં આવ્યું છે, અને તે ભૂલોને ઓળખવાનું શક્ય બનાવ્યું છે જે સ્ટેટિક વિશ્લેષકો અને લિંટર્સમાં શોધાયેલ ન હતી જેનો ઉપયોગ નવા કોડની ચકાસણીના પ્રારંભિક તબક્કામાં કરવામાં આવ્યો હતો.
આજે, અમે ClusterFuzzLite ની જાહેરાત કરતા આનંદ અનુભવીએ છીએ, એક સતત ફઝિંગ સોલ્યુશન જે CI/CD વર્કફ્લોના ભાગ રૂપે પહેલા કરતા વધુ ઝડપથી નબળાઈઓ શોધવા માટે ચાલે છે. કોડની માત્ર થોડીક લીટીઓ સાથે, GitHub વપરાશકર્તાઓ ClusterFuzzLite ને તેમના વર્કફ્લોમાં એકીકૃત કરી શકે છે અને સોફ્ટવેર સપ્લાય ચેઇનની એકંદર સુરક્ષામાં સુધારો કરીને, બગ્સ બનાવવામાં આવે તે પહેલાં તેને પકડવા માટે ફઝ પુલ વિનંતીઓ કરી શકે છે.
2016 માં તેની શરૂઆત થઈ ત્યારથી, 500 થી વધુ નિર્ણાયક ઓપન સોર્સ પ્રોજેક્ટ્સને Google ના OSS-Fuzz પ્રોગ્રામમાં એકીકૃત કરવામાં આવ્યા છે, જેના પરિણામે 6.500 થી વધુ નબળાઈઓ અને 21.000 કાર્યાત્મક ભૂલો સુધારાઈ છે. ClusterFuzzLite, OSS-Fuzz સાથે કામ કરે છે, જે વિકાસ પ્રક્રિયામાં ખૂબ પહેલા રીગ્રેસન ભૂલો શોધી કાઢે છે.
C, C++, Java માં ClusterFuzzLite પ્રોજેક્ટ માન્યતાને સપોર્ટ કરે છે (અને અન્ય JVM-આધારિત ભાષાઓ), Go, Python, Rust, અને Swift. લિબફઝર એન્જિનનો ઉપયોગ કરીને ફઝિંગ પરીક્ષણો હાથ ધરવામાં આવે છે. એડ્રેસ સેનિટાઇઝર, મેમરી સેનિટાઇઝર અને UBSan (અનડિફાઇન્ડ બિહેવિયર સેનિટાઇઝર) ટૂલ્સને મેમરીની ભૂલો અને વિસંગતતાઓ શોધવા માટે પણ બોલાવી શકાય છે.
કી સુવિધાઓ છે ઉદાહરણ તરીકે ક્લસ્ટરફઝલાઇટ હાઇલાઇટ્સ સૂચિત ફેરફારોની ઝડપી ચકાસણી કોડની સ્વીકૃતિ પહેલાના તબક્કામાં ભૂલો શોધવા માટે, તેમજ ક્રેશની ઘટનાની પરિસ્થિતિઓ પરના અહેવાલો ડાઉનલોડ કરવા, તરફ જવાની ક્ષમતા વધુ અદ્યતન ફઝિંગ પરીક્ષણો કોડ ફેરફારની ચકાસણી કર્યા પછી દેખાતી ન હોય તેવી ઊંડી ભૂલોને ઓળખવા માટે, પરીક્ષણો દરમિયાન કોડના કવરેજનું મૂલ્યાંકન કરવા માટે કવરેજ રિપોર્ટ્સનું નિર્માણ અને મોડ્યુલર આર્કિટેક્ચર કે જે તમને જરૂરી કાર્યક્ષમતા પસંદ કરવાની મંજૂરી આપે છે.
સકારાત્મક પરિણામો સાથે, કોડ સમીક્ષા દરમિયાન ClusterFuzzLite નો ઉપયોગ કરી રહ્યાં છે. કર્લના લેખક ડેનિયલ સ્ટેનબર્ગના જણાવ્યા મુજબ, “જ્યારે માનવ સમીક્ષકો સંમત થાય છે અને કોડને મંજૂર કરે છે અને તેમના સ્ટેટિક કોડ વિશ્લેષકો અને લિન્ટર્સ વધુ સમસ્યાઓ શોધી શકતા નથી, ત્યારે ફઝિંગ તમને કોડ પરિપક્વતા અને મજબૂતાઈના આગલા સ્તર પર લઈ જાય છે. OSS-Fuzz અને ClusterFuzzLite અમને આખો દિવસ, દરરોજ અને દરેક સગાઈમાં ગુણવત્તાયુક્ત પ્રોજેક્ટ તરીકે કર્લ જાળવવામાં મદદ કરે છે.
આપણે યાદ રાખવું જોઈએ કે ફઝિંગ પરીક્ષણો વાસ્તવિક ડેટાની નજીકના ઇનપુટ ડેટાના તમામ પ્રકારના રેન્ડમ સંયોજનોનો પ્રવાહ પેદા કરે છે (દા.ત. રેન્ડમ ટેગ પેરામીટર્સ સાથેના html પૃષ્ઠો, અસાધારણ હેડરો સાથેની ફાઇલો અથવા છબીઓ વગેરે) અને પ્રક્રિયામાં સંભવિત નિષ્ફળતાઓને સુધારે છે.
જો કોઈપણ ક્રમ નિષ્ફળ જાય અથવા અપેક્ષિત પ્રતિભાવ સાથે મેળ ખાતો નથી, તો આ વર્તણૂક મોટે ભાગે ભૂલ અથવા નબળાઈ સૂચવે છે.
છેલ્લે જો તમને તેના વિશે વધુ જાણવામાં રસ છે, તમે વિગતો ચકાસી શકો છો નીચેની કડીમાં