近年、継続的なファズテストがソフトウェア開発ライフサイクルの重要な部分となっています。このテクノロジは通常、予期しないデータまたはランダムなデータをプログラムに入力し、簡単に見落とされたり、手動では発見できなかったクラッシュ ポイントを掘り出すことができます。 NIST のソフトウェア検証ガイドラインは最近、(国家レベルの改善を求めるホワイトハウスの呼びかけに応じて)標準をリリースしました。サイバーセキュリティ大統領令)、この標準のコード検証では、ソフトウェア検証にはファズテストが必要であることが明確に規定されています。
そこで Google チームは、オープンソース プロジェクト ClusterFuzzLite を発表しました。これは、CI/CD ワークフローの一部として実行され、これまでよりも早く脆弱性を発見する継続的ファズ テスト ソリューションです。わずか数行のコードを使用するだけで、GitHub ユーザーは ClusterFuzzLite をワークフローに統合し、プル リクエストをファジング テストしてコミット前にエラーを検出できるため、ソフトウェア サプライ チェーン全体のセキュリティを強化できます。
2016 年の立ち上げ以来、500 を超える重要なオープンソース プロジェクトが Google の OSS-Fuzz プログラムに統合され、6,500 を超える脆弱性と 21,000 を超える機能バグが修正されました。 ClusterFuzzLite は、開発プロセスの早い段階で回帰エラーを検出することにより、OSS-Fuzz と連携して動作します。
systemd やcurl などの大規模プロジェクトでは、コード レビュー中に ClusterFuzzLite が使用され、素晴らしい結果が得られました。
ClusterFuzzLite のリリースにより、あらゆるプロジェクトがこの重要なテスト標準を統合し、ファズ テストの恩恵を受けることができます。 ClusterFuzzLite は、継続的なファズ テスト、コーパス管理、カバレッジ レポートの生成など、ClusterFuzz と同じ機能の多くを提供します。何よりも使いやすいため、ClusterFuzzLite はファジング テストを行う開発者にとって最適な選択肢となります。
さらに詳しく知りたい場合は、チェックしてください ClusterFuzzLite ドキュメント。
ClusterFuzzLite は現在、GitHub Actions と Google Cloud Build をサポートしています
CNCSOによるオリジナル記事。転載の際は出典を明記してください:https://cncso.com/jp/グーグル、継続的なファジーテストソリューショ
