Google開源 Google強(qiáng)調(diào)ClusterFuzzLite方便使用,僅需要幾行程序碼,GitHub用戶就能夠?qū)lusterFuzzLite整合到工作流程中,對拉取請求進(jìn)行模糊測試,在提交之前發(fā)現(xiàn)錯(cuò)誤,進(jìn)而強(qiáng)化軟件供應(yīng)鏈安全性。
Google提到,持續(xù)模糊測試現(xiàn)在已經(jīng)成為軟件開發(fā)生命周期中重要的一部分,藉由將未預(yù)期或是隨機(jī)的資料輸入到程序,以探索在人工檢查時(shí),被遺漏掉的錯(cuò)誤,并且覆蓋需要非常多人力才能顧及的范圍。另外,由美國國家標(biāo)準(zhǔn)暨技術(shù)研究院NIST所發(fā)布的軟件驗(yàn)證指南,最近回應(yīng)白宮改進(jìn)網(wǎng)路安全的執(zhí)行命令,也將模糊測試列為程序碼驗(yàn)證最低標(biāo)準(zhǔn)。
Google持續(xù)耕耘模糊測試的開源工具,之前所發(fā)布的開源軟件專用的模糊測試專案OSS-Fuzz,已經(jīng)被超過500個(gè)重要開源專案采用,修復(fù)超過6,500項(xiàng)漏洞,和21,000個(gè)功能錯(cuò)誤。ClusterFuzzLite現(xiàn)在加入OSS-Fuzz的行列,協(xié)助開發(fā)人員除錯(cuò)。
systemd和curl等重要的大型專案,已經(jīng)在其程序碼審查程序中,使用ClusterFuzzLite,curl的作者Daniel Stenberg甚至提到,在人類審查員檢查過后,靜態(tài)程序碼分析工具和linter也都找不出任何問題時(shí),模糊測試還能夠再次強(qiáng)化程序碼的成熟度和強(qiáng)健度。curl現(xiàn)在采用OSS-Fuzz和ClusterFuzzLite,以維持專案每次提交的程序碼品質(zhì)。
任何專案都可以采用ClusterFuzzLite,并且整合基本的測試標(biāo)準(zhǔn),并且從模糊測試中獲益,ClusterFuzzLite具有許多與ClusterFuzz相同功能,像是連續(xù)模糊測試、支援Sanitizer和覆蓋率報(bào)告等,Google強(qiáng)調(diào),最重要的是,ClusterFuzzLite容易配置并且可用于閉源軟件。
Google希望模糊測試不再是一個(gè)額外測試的存在,而是真的能進(jìn)入到日常開發(fā)流程中,成為每個(gè)軟件專案的必經(jīng)步驟,防止錯(cuò)誤進(jìn)到程序碼庫,有助于建構(gòu)更安全的軟件生態(tài)系。
