ЦлустерФуззЛите, систем за организовање тестова фузинг кода

Недавно Гоогле представио путем поста на блогу пројекат ЦлустерФуззЛите, који омогућава организовање фузинг тестова кода за рано откривање потенцијалних рањивости у фази рада система континуиране интеграције.

Тренутно, ЦлустерФузз може се користити за аутоматизовање фузз тестирања захтева за повлачењем у ГитХуб акцијама, Гоогле Цлоуд Буилд и Пров, али се очекује да ће у будућности бити компатибилан са другим ИЦ системима. Пројекат је заснован на платформи ЦлустерФузз, креираној за координацију рада фузинг тест кластера, а дистрибуира се под лиценцом Апацхе 2.0.

Треба напоменути да је након Гоогле-овог увођења услуге ОСС-Фузз 2016. године, више од 500 великих пројеката отвореног кода примљено је у програм континуираног фузинг тестирања. Од извршених провера, више од 6.500 потврђених рањивости је елиминисано и више од 21.000 грешака је исправљено.

О ЦлустерФуззЛите-у

ЦлустерФуззЛите наставља да развија фузз тест механизме са могућношћу да се раније идентификују проблеми у фази рецензије предложених промена. ЦлустерФуззЛите је већ уведен у процесе прегледа промена у системским и цурл пројектима, и омогућио је да се идентификују грешке које нису откривене у статичким анализаторима и линтерима који су коришћени у почетној фази верификације новог кода.

Данас, са задовољством најављујемо ЦлустерФуззЛите, решење за континуирано фуззовање које ради као део ЦИ/ЦД токова рада како би пронашло рањивости брже него икад. Са само неколико линија кода, корисници ГитХуб-а могу да интегришу ЦлустерФуззЛите у свој радни ток и фузз пулл захтеве да би ухватили грешке пре него што се направе, побољшавајући укупну безбедност ланца набавке софтвера.
Од његовог лансирања 2016. године, више од 500 критичних пројеката отвореног кода је интегрисано у Гоогле-ов ОСС-Фузз програм, што је резултирало исправљањем више од 6.500 рањивости и 21.000 функционалних грешака. ЦлустерФуззЛите иде руку под руку са ОСС-Фузз, откривајући грешке регресије много раније у процесу развоја.

ЦлустерФуззЛите подржава валидацију пројекта у Ц, Ц ++, Јава (и други језици засновани на ЈВМ), Го, Питхон, Руст и Свифт. Тестови расплињавања се врше коришћењем ЛибФуззер мотора. Алати АддрессСанитизер, МемориСанитизер и УБСан (УндефинедБехавиорСанитизер) такође се могу позвати да открију грешке и аномалије у меморији.

Од кључних карактеристика ЦлустерФуззЛите истиче на пример брза провера предложених измена да пронађе грешке у фази пре прихватања кода, као и преузимање извештаја о условима настанка хаварија, способност кретања у напреднији фузинг тестови за идентификацију дубљих грешака које се нису појавиле након верификације промене кода, такође генерисање извештаја о покривености за процену покривености кода током тестова и модуларну архитектуру која вам омогућава да изаберете потребну функционалност.

Велики пројекти укључујући системд и цурлиа користе ЦлустерФуззЛите током прегледа кода, са позитивним резултатима. Према Даниелу Стенбергу, аутору цурл-а, „Када се људски рецензенти сложе и одобре код и њихови статички анализатори кода и линтери не могу више да открију проблеме, фуззинг је оно што вас води на следећи ниво зрелости и робусности кода. ОСС-Фузз и ЦлустерФуззЛите нам помажу да задржимо цурл као квалитетан пројекат, цео дан, сваки дан и на сваком ангажману.

Морамо запамтити да фуззинг тестови генеришу ток свих врста насумичних комбинација улазних података блиских стварним подацима (нпр. хтмл странице са насумичним параметрима ознака, датотеке или слике са абнормалним заглављима, итд.) и исправљају могуће грешке у процесу.

Ако било која секвенца не успе или не одговара очекиваном одговору, ово понашање највероватније указује на грешку или рањивост.

Коначно ако сте заинтересовани да сазнате више о томе, можете проверити детаље У следећем линку.


Будите први који ће коментарисати

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.