近年来,持续模糊测试已成为软件开发生命周期的重要组成部分。这种技术通常是将意外或随机的数据输入给程序,然后可以挖掘出一些人工容易遗漏或者未发现的 crash 点。 NIST 的软件验证指南最近发布了一项标准(以响应白宫关于改善国家网络安全的行政命令),在该标准的代码验证中就明确规定——软件验证要经过模糊测试。
所以谷歌团队公布了一项开源项目 ClusterFuzzLite,这是一种连续模糊测试解决方案,作为 CI/CD 工作流程的一部分运行,可以比以往任何时候都更快地发现漏洞。只需几行代码,GitHub 用户就可以将 ClusterFuzzLite 集成到他们的工作流程中,并对拉取请求进行模糊测试,以便在提交之前捕获错误,从而增强软件供应链的整体安全性。
自 2016 年发布以来,已有 500 多个关键开源项目集成到 Google 的 OSS-Fuzz 程序中,修复了 6,500 多个漏洞和 21,000 个功能错误。 ClusterFuzzLite 与 OSS-Fuzz 携手并进,通过在开发过程中更早地捕获回归错误。
包括 systemd 和 curl 在内的大型项目已经在代码审查期间使用了 ClusterFuzzLite,并取得了不错的成果。
随着 ClusterFuzzLite 的发布,任何项目都可以集成这个基本的测试标准并从模糊测试中受益。 ClusterFuzzLite 提供许多与 ClusterFuzz 相同的功能,例如连续模糊测试、语料库管理和覆盖率报告生成。最重要的是,它使用起来比较方便,这使得 ClusterFuzzLite 成为任何想要进行模糊测试的开发人员的优先选择。
要了解更多信息,可以查看 ClusterFuzzLite 文档。
ClusterFuzzLite 目前支持 GitHub Actions 和 Google Cloud Build
原创文章,作者:CNCSO,如若转载,请注明出处:https://cncso.com/google-releases-clusterfuzzlite-a-kind-of-continuous-fuzzy-testing-solution.html