近年、継続的なファズ・テストは、ソフトウェア開発ライフサイクルの重要な一部となっている。この手法では通常、偶発的またはランダムなデータをプログラムに送り込み、人間が見逃しやすい、または検出できないクラッシュ・ポイントを掘り起こすことができる。 NISTのソフトウェア・バリデーション・ガイドラインは最近、コード・バリデーションが明記された標準を発表した(国家サイバーセキュリティの向上に関するホワイトハウスの大統領令に対応したもの)。
そこで Google チームは、オープンソース プロジェクト ClusterFuzzLite を発表しました。これは、CI/CD ワークフローの一部として実行され、これまでよりも早く脆弱性を発見する継続的ファズ テスト ソリューションです。わずか数行のコードを使用するだけで、GitHub ユーザーは ClusterFuzzLite をワークフローに統合し、プル リクエストをファジング テストしてコミット前にエラーを検出できるため、ソフトウェア サプライ チェーン全体のセキュリティを強化できます。
2016 年の立ち上げ以来、500 を超える重要なオープンソース プロジェクトが Google の OSS-Fuzz プログラムに統合され、6,500 を超える脆弱性と 21,000 を超える機能バグが修正されました。 ClusterFuzzLite は、開発プロセスの早い段階で回帰エラーを検出することにより、OSS-Fuzz と連携して動作します。
systemd やcurl などの大規模プロジェクトでは、コード レビュー中に ClusterFuzzLite が使用され、素晴らしい結果が得られました。
ClusterFuzzLite のリリースにより、あらゆるプロジェクトがこの重要なテスト標準を統合し、ファズ テストの恩恵を受けることができます。 ClusterFuzzLite は、継続的なファズ テスト、コーパス管理、カバレッジ レポートの生成など、ClusterFuzz と同じ機能の多くを提供します。何よりも使いやすいため、ClusterFuzzLite はファジング テストを行う開発者にとって最適な選択肢となります。
さらに詳しく知りたい場合は、チェックしてください ClusterFuzzLite ドキュメント。
ClusterFuzzLite は現在、GitHub Actions と Google Cloud Build をサポートしています
CNCSOによるオリジナル記事。転載される場合は、出典を明記してください: https://www.cncso.com/jp/google-releases-clusterfuzzlite-a-kind-of-continuous-fuzzy-testing-solution.html
