In den letzten Jahren sind kontinuierliche Fuzz-Tests zu einem wichtigen Bestandteil des Lebenszyklus der Softwareentwicklung geworden. Bei dieser Technik werden in der Regel zufällige Daten in ein Programm eingespeist, die dann auf Absturzpunkte untersucht werden können, die von Menschen leicht übersehen oder nicht erkannt werden. Der Software Validation Guide des NIST hat vor kurzem einen Standard veröffentlicht (als Antwort auf die Bitte des Weißen Hauses, das Nationale Softwarevalidierungssystem zu verbessern).Netzwerksicherheitder Durchführungsverordnung), wird in der Code-Validierung dieser Norm ausdrücklich darauf hingewiesen, dass die Software-Validierung Fuzz-Tests unterliegt.
Daher hat das Google-Team ein Open-Source-Projekt angekündigt, ClusterFuzzLite, eine Lösung für kontinuierliche Fuzz-Tests, die als Teil eines CI/CD-Workflows läuft, um Schwachstellen schneller als je zuvor zu finden. Mit nur wenigen Zeilen Code können GitHub-Benutzer ClusterFuzzLite in ihre Arbeitsabläufe integrieren und Pull-Requests mit Fuzz testen, um Fehler zu finden, bevor sie übertragen werden, und so die Sicherheit der Software-Lieferkette insgesamt zu verbessern.
Seit seiner Veröffentlichung im Jahr 2016 wurden mehr als 500 kritische Open-Source-Projekte in das OSS-Fuzz-Programm von Google integriert und mehr als 6.500 Schwachstellen und 21.000 funktionale Fehler behoben. ClusterFuzzLite arbeitet Hand in Hand mit OSS-Fuzz, indem es Regressionsfehler früher im Entwicklungsprozess aufspürt.
Große Projekte wie systemd und curl haben ClusterFuzzLite während der Codeüberprüfung mit guten Ergebnissen eingesetzt.
Mit der Veröffentlichung von ClusterFuzzLite kann jedes Projekt diesen wichtigen Teststandard integrieren und von Fuzz-Tests profitieren. ClusterFuzzLite bietet viele der gleichen Funktionen wie ClusterFuzz, z. B. kontinuierliche Fuzz-Tests, Korpusverwaltung und Erstellung von Abdeckungsberichten. Vor allem aber ist es relativ einfach zu bedienen, was ClusterFuzzLite zur bevorzugten Wahl für jeden Entwickler macht, der Fuzz-Tests durchführen möchte.
Weitere Informationen finden Sie unter ClusterFuzzLite-Dokumentation.
ClusterFuzzLite unterstützt derzeit GitHub-Aktionen und Google Cloud Builds.
Originalartikel von CNCSO, bei Vervielfältigung bitte die Quelle angeben: https://cncso.com/de/google-releases-clusterfuzzlite-a-kind-of-continuous-fuzzy-testing-solution.html
