अलीकडे गुगलने अनावरण केले ब्लॉग पोस्ट द्वारे ClusterFuzzLite प्रकल्प, जो फझिंग चाचण्या आयोजित करण्यास अनुमती देतो सतत एकीकरण प्रणालीच्या ऑपरेशन स्टेजमध्ये संभाव्य असुरक्षा लवकर शोधण्यासाठी कोड.
सध्या, ClusterFuzz GitHub क्रियांमध्ये पुल विनंत्यांची फझ चाचणी स्वयंचलित करण्यासाठी वापरली जाऊ शकते, Google क्लाउड बिल्ड आणि प्रो, परंतु भविष्यात ते इतर IC प्रणालींशी सुसंगत असेल अशी अपेक्षा आहे. हा प्रकल्प क्लस्टरफुझ प्लॅटफॉर्मवर आधारित आहे, जो फझिंग चाचणी क्लस्टर्सच्या कामात समन्वय साधण्यासाठी तयार करण्यात आला आहे आणि तो Apache 2.0 लायसन्स अंतर्गत वितरित केला गेला आहे.
हे नोंद घ्यावे की 2016 मध्ये Google द्वारे OSS-Fuzz सेवा सादर केल्यानंतर, 500 हून अधिक प्रमुख ओपन सोर्स प्रकल्प सतत अस्पष्ट चाचणी कार्यक्रमात स्वीकारले गेले. केलेल्या तपासण्यांमधून, 6.500 हून अधिक पुष्टी झालेल्या भेद्यता दूर केल्या गेल्या आहेत आणि 21.000 हून अधिक त्रुटी सुधारल्या गेल्या आहेत.
ClusterFuzzLite बद्दल
ClusterFuzzLite अस्पष्ट चाचणी यंत्रणा विकसित करत आहे प्रस्तावित बदलांच्या समवयस्क पुनरावलोकनाच्या टप्प्यात आधी समस्या ओळखण्याच्या क्षमतेसह. ClusterFuzzLite आधीच systemd आणि curl प्रोजेक्ट्समधील बदल पुनरावलोकन प्रक्रियेमध्ये सादर केले गेले आहे, आणि यामुळे नवीन कोडच्या पडताळणीच्या सुरुवातीच्या टप्प्यात वापरल्या गेलेल्या स्थिर विश्लेषक आणि लिंटर्समध्ये आढळून न आलेल्या त्रुटी ओळखणे शक्य झाले आहे.
आज, आम्हाला क्लस्टरफझलाइटची घोषणा करताना आनंद होत आहे, जो CI/CD वर्कफ्लोचा भाग म्हणून असुरक्षा शोधण्यासाठी नेहमीपेक्षा अधिक जलदगतीने चालतो. कोडच्या काही ओळींसह, GitHub वापरकर्ते ClusterFuzzLite ला त्यांच्या वर्कफ्लोमध्ये समाकलित करू शकतात आणि सॉफ्टवेअर पुरवठा साखळीच्या एकूण सुरक्षिततेमध्ये सुधारणा करून बग्स बनवण्याआधी ते पकडण्यासाठी फुझ पुल विनंत्या करू शकतात.
2016 मध्ये लॉन्च झाल्यापासून, 500 हून अधिक गंभीर ओपन सोर्स प्रकल्प Google च्या OSS-Fuzz प्रोग्राममध्ये एकत्रित केले गेले आहेत, परिणामी 6.500 हून अधिक भेद्यता आणि 21.000 कार्यात्मक बग दुरुस्त करण्यात आले आहेत. ClusterFuzzLite, OSS-Fuzz सोबत हाताशी आहे, विकास प्रक्रियेत खूप आधी रीग्रेशन त्रुटी शोधते.
C, C++, Java मध्ये ClusterFuzzLite प्रकल्प प्रमाणीकरणास समर्थन देते (आणि इतर JVM-आधारित भाषा), Go, Python, Rust आणि Swift. LibFuzer इंजिन वापरून फझिंग चाचण्या केल्या जातात. अॅड्रेस सॅनिटायझर, मेमरी सॅनिटायझर आणि UBSan (अपरिभाषित वर्तणूक सॅनिटायझर) साधने देखील मेमरी त्रुटी आणि विसंगती शोधण्यासाठी कॉल केली जाऊ शकतात.
मुख्य वैशिष्ट्ये ClusterFuzzLite हायलाइट्स उदाहरणार्थ प्रस्तावित बदलांची द्रुत पडताळणी कोड स्वीकारण्यापूर्वीच्या टप्प्यात त्रुटी शोधण्यासाठी, तसेच क्रॅश होण्याच्या परिस्थितीवरील अहवाल डाउनलोड करणे, वर जाण्याची क्षमता अधिक प्रगत फझिंग चाचण्या कोड बदलाची पडताळणी केल्यानंतर न दिसणाऱ्या सखोल त्रुटी ओळखण्यासाठी, चाचण्यांदरम्यान कोडच्या कव्हरेजचे मूल्यांकन करण्यासाठी कव्हरेज अहवाल तयार करणे आणि मॉड्यूलर आर्किटेक्चर जे तुम्हाला आवश्यक कार्यक्षमता निवडण्याची परवानगी देते.
systemd आणि curlya सह मोठे प्रकल्प, सकारात्मक परिणामांसह, कोड पुनरावलोकनादरम्यान ClusterFuzzLite वापरत आहेत. कर्लचे लेखक डॅनियल स्टेनबर्ग यांच्या मते, “जेव्हा मानवी समीक्षकांनी सहमती दर्शवली आणि कोड मंजूर केला आणि त्यांचे स्टॅटिक कोड विश्लेषक आणि लिंटर आणखी समस्या शोधू शकत नाहीत, तेव्हा अस्पष्टता ही तुम्हाला कोड परिपक्वता आणि मजबूतपणाच्या पुढील स्तरावर घेऊन जाते. OSS-Fuzz आणि ClusterFuzzLite आम्हाला दिवसभर, दररोज आणि प्रत्येक व्यस्ततेत एक दर्जेदार प्रकल्प म्हणून कर्ल राखण्यात मदत करतात.
आपण हे लक्षात ठेवले पाहिजे की फझिंग चाचण्या प्रत्यक्ष डेटाच्या जवळ असलेल्या इनपुट डेटाच्या सर्व प्रकारच्या यादृच्छिक संयोजनांचा प्रवाह निर्माण करतात (उदा. यादृच्छिक टॅग पॅरामीटर्ससह html पृष्ठे, असामान्य शीर्षलेखांसह फाइल्स किंवा प्रतिमा इ.) आणि प्रक्रियेतील संभाव्य अपयश दुरुस्त करतात.
कोणताही क्रम अयशस्वी झाल्यास किंवा अपेक्षित प्रतिसादाशी जुळत नसल्यास, हे वर्तन बहुधा बग किंवा भेद्यता दर्शवते.
शेवटी आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, आपण तपशील तपासू शकता पुढील लिंकवर