Google開源 Google強調(diào)ClusterFuzzLite方便使用,僅需要幾行程序碼,GitHub用戶就能夠?qū)lusterFuzzLite整合到工作流程中,對拉取請求進行模糊測試,在提交之前發(fā)現(xiàn)錯誤,進而強化軟件供應(yīng)鏈安全性。
Google提到,持續(xù)模糊測試現(xiàn)在已經(jīng)成為軟件開發(fā)生命周期中重要的一部分,藉由將未預(yù)期或是隨機的資料輸入到程序,以探索在人工檢查時,被遺漏掉的錯誤,并且覆蓋需要非常多人力才能顧及的范圍。另外,由美國國家標(biāo)準(zhǔn)暨技術(shù)研究院NIST所發(fā)布的軟件驗證指南,最近回應(yīng)白宮改進網(wǎng)路安全的執(zhí)行命令,也將模糊測試列為程序碼驗證最低標(biāo)準(zhǔn)。
Google持續(xù)耕耘模糊測試的開源工具,之前所發(fā)布的開源軟件專用的模糊測試專案OSS-Fuzz,已經(jīng)被超過500個重要開源專案采用,修復(fù)超過6,500項漏洞,和21,000個功能錯誤。ClusterFuzzLite現(xiàn)在加入OSS-Fuzz的行列,協(xié)助開發(fā)人員除錯。
systemd和curl等重要的大型專案,已經(jīng)在其程序碼審查程序中,使用ClusterFuzzLite,curl的作者Daniel Stenberg甚至提到,在人類審查員檢查過后,靜態(tài)程序碼分析工具和linter也都找不出任何問題時,模糊測試還能夠再次強化程序碼的成熟度和強健度。curl現(xiàn)在采用OSS-Fuzz和ClusterFuzzLite,以維持專案每次提交的程序碼品質(zhì)。
任何專案都可以采用ClusterFuzzLite,并且整合基本的測試標(biāo)準(zhǔn),并且從模糊測試中獲益,ClusterFuzzLite具有許多與ClusterFuzz相同功能,像是連續(xù)模糊測試、支援Sanitizer和覆蓋率報告等,Google強調(diào),最重要的是,ClusterFuzzLite容易配置并且可用于閉源軟件。
Google希望模糊測試不再是一個額外測試的存在,而是真的能進入到日常開發(fā)流程中,成為每個軟件專案的必經(jīng)步驟,防止錯誤進到程序碼庫,有助于建構(gòu)更安全的軟件生態(tài)系。
