В фокусе
Читать
ГлавнаяРубрикиПрограммное обеспечение Google выпустила открытый инструмент для поиска ошибок в ПО
15.11.2021

Google выпустила открытый инструмент для поиска ошибок в ПО

11 ноября 2021 года Google объявила о выпуске инструмента ClusterFuzzLite для поиска ошибок в программном обеспечении с использованием случайных или недостоверных данных. Инструмент упрощает интеграцию фаззинга в любой рабочий процесс проекта и делает фазз-тестирование неотъемлемым стандартом при коммитах.

Фаззинг, также называемый фазз-тестированием, стал фундаментальной частью обнаружения ошибок и уязвимостей в программном обеспечении (ПО). Тестирование позволяет выявить ошибки, которые могут ускользнуть от ручных тестов, подбрасывая в код случайные и неожиданные данные, чтобы получить запредельные результаты и сбои, которые могут выявить недостатки в ПО. Этот вид тестирования особенно важен для любого ПО, которое будет подвержено внешнему пользовательскому вводу, потому что именно здесь хакеры могут попытаться использовать систему или пользователь может случайно столкнуться с ситуацией, которая приведет к серьезному сбою в приложении.

Инструмент ClusterFuzzLite работает вместе с OSS-Fuzz, программой, которая была разработана Google для обеспечения непрерывной проверки избранных основных проектов ПО с открытым исходным кодом. С момента выпуска OSS-Fuzz в 2016 году она позволила обнаружить и устранить более 6,5 тыс. уязвимостей и 21 тыс. функциональных ошибок в более чем 500 критически важных проектах с открытым исходным кодом. По словам компании, такие крупные проекты, как systemd, служба управления пользовательскими процессами в операционной системе (ОС) Linux, и curl, инструмент командной строки и библиотека для передачи данных, уже используют ClusterFuzzLite во время проверки кода.

«
Когда человеческие рецензенты кивают и одобряют код, а ваши статические анализаторы кода и линтеры больше не могут обнаружить никаких проблем, фаззинг - это то, что переводит вас на следующий уровень зрелости. OSS-Fuzz и ClusterFuzzLite помогают нам поддерживать curl, как качественный проект, круглосуточно, каждый день и каждый коммит, - сказал автор curl Дэниел Стенберг (Daniel Stenberg).
»

Пользователи GitHub могут легко добавить его в свой рабочий процесс и проводить фазз-тестирование запросов на внесение изменений для выявления ошибок до фиксации кода с помощью всего нескольких строк кода. Не менее важно, что его легко настроить и для проектов с закрытым исходным кодом. Добавив фаззинг в процессе интеграции, можно отлавливать ошибки в коде до того, как новый код будет добавлен в основную базу. На ноябрь 2021 года решение поддерживает GitHub Actions, Google Cloud Build и Prow. Инструмент был создан с учетом расширяемости систем непрерывной интеграции, и команда сделала так, чтобы добавление поддержки других систем CI было простым, имеется в виду интеграция отдельных кусочков кода приложения между собой.

Источник.

Оцените статью по: