Google开源自动化模糊测试工具ClusterFuzz

有没有听说过“模糊测试”?在软件工程中,这个术语指的是一种错误(bug)检测技术,通过向目标程序提供“意外”或超出范围的输入来检测潜在的bug,尤其是内存崩溃错误和代码断言(code assertion)。这些bug对于人工检测来说,通常需要敏锐的眼光和大量的人力 -以及无休止的代码审查工作。

谷歌的解决方案是将模糊测试工作交给软件,例如ClusterFuzz。这是一个名副其实的基础架构,运行在超过25,000个处理器核心上,不断(并自主)探测Chrome的代码库中的漏洞。两年前,Google开始通过OSS-Fuzz提供ClusterFuzz作为开源项目的免费服务,今天,Google宣布将ClusterFuzz在GitHub上开源。Google表示,ClusterFuzz的开源实现需要一些Google Cloud Platform服务,但与任何计算群集兼容。

在 博客文章中,ClusterFuzz团队成员Abhishek Arya,Oliver Chang,Max Moroz,Martin Barbella和Jonathan Metzman写道:“我们开发ClusterFuzz超过八年,以便无缝地融入开发人员的工作流程,使其易于查找错误并将其修复。ClusterFuzz可实现端到端的自动化,从错误检测到分类(准确的删除重复数据,二分法),到错误报告,最后到错误报告的自动关闭。”

谷歌表示,到目前为止模糊测试工具ClusterFuzz已经帮助发现了超过16,000个Chrome项目中的错误以及与OSS-Fuzz集成的160多个开源项目中的11,000多个错误。“ClusterFuzz是Chrome和许多其他开源项目开发过程中不可或缺的一部分,”该团队写道。“ClusterFuzz通常能够在启用后的几个小时内开始检测出错误,并在一天内验证修复。”

ClusterFuzz远非唯一的自动化模糊测试解决方案。2018年8月,谷歌收购了  GraphicsFuzz  一家专门研究移动图形基准测试工具的公司,其中一些工具用于发现三星Galaxy S6和S9等手机中的漏洞(数量不详)。微软两年前推出了  Project Springfield,一个基于云的模糊测试服务,用于查找软件中的关键安全bug。有兴趣的读者还可以在这里找到更多模糊测试工具。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者