近年來,持續模糊測試已成為軟體開發生命週期的重要組成部分。這種技術通常是將意外或隨機的數據輸入給程序,然後可以挖掘出一些人工容易遺漏或未發現的crash 點。 NIST 的軟體驗證指南最近發布了一項標準(以回應白宮關於改善國家網路安全的行政命令),在該標準的程式碼驗證中就明確規定-軟體驗證要經過模糊測試。
所以Google團隊公佈了一項開源專案ClusterFuzzLite,這是一種連續模糊測試解決方案,作為CI/CD 工作流程的一部分運行,可以比以往任何時候都更快地發現漏洞。只需幾行程式碼,GitHub 用戶就可以將ClusterFuzzLite 整合到他們的工作流程中,並對拉取請求進行模糊測試,以便在提交之前捕獲錯誤,從而增強軟體供應鏈的整體安全性。
自2016 年發布以來,已有500 多個關鍵開源專案整合到Google 的OSS-Fuzz 程式中,修復了6,500 多個漏洞和21,000 個功能錯誤。 ClusterFuzzLite 與OSS-Fuzz 攜手並進,透過在開發過程中更早捕捉回歸錯誤。
包括systemd 和curl 在內的大型專案已經在程式碼審查期間使用了ClusterFuzzLite,並且取得了不錯的成果。
隨著ClusterFuzzLite 的發布,任何專案都可以整合這個基本的測試標準並從模糊測試中受益。 ClusterFuzzLite 提供許多與ClusterFuzz 相同的功能,例如連續模糊測試、語料庫管理和覆蓋率報告產生。最重要的是,它使用起來比較方便,這使得ClusterFuzzLite 成為任何想要進行模糊測試的開發人員的優先選擇。
要了解更多信息,可以查看 ClusterFuzzLite 文檔。
ClusterFuzzLite 目前支援GitHub Actions 和Google Cloud Build
原文文章,作者:CNCSO,如若轉載,請註明出處:https://cncso.com/tw/google-releases-clusterfuzzlite-a-kind-of-continuous-fuzzy-testing-solution.html
