nemrég A Google bemutatta egy blogbejegyzésen keresztül a ClusterFuzzLite projekt, amely lehetővé teszi fuzzing tesztek szervezését kód a folyamatos integrációs rendszerek működési szakaszában a potenciális sérülékenységek korai felismerésére.
Jelenleg a ClusterFuzz használható a lehívási kérelmek fuzz tesztelésének automatizálására a GitHub Actions programban, Google Cloud Build és Prow, de várhatóan a jövőben más IC rendszerekkel is kompatibilis lesz. A projekt a ClusterFuzz platformon alapul, amelyet a fuzzing tesztfürtök munkájának koordinálására hoztak létre, és az Apache 2.0 licenc alatt terjesztik.
Megjegyzendő, hogy miután a Google 2016-ban bemutatta az OSS-Fuzz szolgáltatást, több mint 500 nagy nyílt forráskódú projektet fogadtak be a folyamatos fuzzing tesztelési programba. Az elvégzett ellenőrzések során több mint 6.500 megerősített sebezhetőséget sikerült megszüntetni, és több mint 21.000 ezer hibát kijavítottak.
A ClusterFuzzLite-ról
A ClusterFuzzLite továbbra is fejleszti a fuzzing tesztmechanizmusokat azzal a képességgel, hogy a javasolt változtatások szakértői értékelési szakaszában korábban azonosítani tudják a problémákat. A ClusterFuzzLite-ot már bevezették a rendszer- és curl-projektek változás-ellenőrzési folyamataiba, és lehetővé tette azon hibák azonosítását, amelyeket az új kód ellenőrzésének kezdeti szakaszában használt statikus analizátorokban és linterekben nem észleltek.
Örömmel jelentjük be a ClusterFuzzLite-ot, egy folyamatos összemosó megoldást, amely a CI/CD munkafolyamatok részeként fut, hogy minden eddiginél gyorsabban megtalálja a sebezhetőséget. A GitHub-felhasználók mindössze néhány sornyi kóddal integrálhatják a ClusterFuzzLite-ot munkafolyamataikba, és lefuttathatják a kéréseket, hogy elkapják a hibákat, mielőtt azok megjelennének, javítva ezzel a szoftverellátási lánc általános biztonságát.
A 2016-os indulás óta több mint 500 kritikus nyílt forráskódú projektet integráltak a Google OSS-Fuzz programjába, ami több mint 6.500 sebezhetőséget és 21.000 XNUMX funkcionális hibát javított ki. A ClusterFuzzLite kéz a kézben jár az OSS-Fuzz-szal, és sokkal korábban észleli a regressziós hibákat a fejlesztési folyamat során.
A ClusterFuzzLite támogatja a projektellenőrzést C, C ++, Java nyelven (és más JVM-alapú nyelvek), Go, Python, Rust és Swift. A fuzzing teszteket a LibFuzzer motor segítségével hajtják végre. Az AddressSanitizer, MemorySanitizer és UBSan (UndefinedBehaviorSanitizer) eszközök is meghívhatók a memóriahibák és anomáliák észlelésére.
A legfontosabb jellemzők közül A ClusterFuzzLite kiemeli például a a javasolt változtatások gyors ellenőrzése hibák felkutatására a kód elfogadását megelőző szakaszban, valamint a balesetek előfordulásának körülményeiről szóló jelentések letöltése, a költözés képessége fejlettebb fuzzing tesztek a kódváltoztatás ellenőrzése után fel nem jelentkező mélyebb hibák azonosítására, lefedettségi jelentések generálása a kód lefedettségének értékelésére a tesztek során és a moduláris architektúra, amely lehetővé teszi a szükséges funkcionalitás kiválasztását.
A nagy projektek, köztük a systemd és a curlya, a ClusterFuzzLite-ot használják a kódellenőrzés során, pozitív eredménnyel. Daniel Stenberg, a curl szerzője szerint „Amikor az emberi felülvizsgálók egyetértenek és jóváhagyták a kódot, és statikus kódelemzőik és lintereik nem tudnak több problémát észlelni, a fuzzing az, ami a kód érettségének és robusztusságának következő szintjére visz. Az OSS-Fuzz és a ClusterFuzzLite segítenek a göndörítés minőségi projektjének fenntartásában egész nap, minden nap és minden elfoglaltság alkalmával.
Emlékeznünk kell arra, hogy a fuzzing tesztek a tényleges adatokhoz közeli bemeneti adatok mindenféle véletlenszerű kombinációját generálják (pl. html oldalak véletlenszerű címkeparaméterekkel, fájlok vagy képek rendellenes fejlécekkel stb.), és kijavítják a folyamat esetleges hibáit.
Ha valamelyik szekvencia meghiúsul, vagy nem egyezik a várt válasszal, ez a viselkedés valószínűleg hibára vagy sebezhetőségre utal.
Végül ha érdekel, hogy többet tudjon meg róla, ellenőrizheti a részleteket A következő linken.