The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Google открыл код ClusterFuzz, платформы для выявления ошибок и уязвимостей

08.02.2019 10:55

Компания Google открыла исходные тексты платформы ClusterFuzz, предназначенной для проведения fuzzing-тестирования кода с использованием кластера серверов. Кроме координации выполнения проверок ClusterFuzz также автоматизирует выполнение таких задач, как отправка уведомления разработчикам, создание заявки на исправление (issue), отслеживание исправления ошибки и закрытие отчётов после исправления. Код написан на языках Python и Go, и распространяется под лицензией Apache 2.0. Экземпляры ClusterFuzz могут запускаться на системах под управлением Linux, macOS и Windows, а также в различных облачных окружениях.

ClusterFuzz с 2011 года используется в недрах Google для выявления ошибок в кодовой базе Chrome и для обеспечения работы проекта OSS-Fuzz, в рамках которого было организовано непрерывное fuzzing-тестирование открытого ПО. Всего за время работы ClusterFuzz было выявлено более 16 тысяч ошибок в Chrome и более 11 тысяч ошибок в 160 открытых проектах, принимающих участие в программе OSS-Fuzz. Благодаря непрерывному процессу проверки актуальной кодовой базы ошибки обычно вылавливаются в течение нескольких часов после внесения в код вызывающих их изменений.

Система изначально рассчитана на организацию распределённого тестирования на большом числе узлов - например, внутренний кластер ClusterFuzz в Google включает более 25 тысяч машин (!). ClusterFuzz поддерживает различные режимы fuzzing-тестирования на базе инструментов AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL, в том числе тестирование в режиме "чёрного ящика" (проверка произвольного бинарного кода без обработки на этапе компиляции).

В процессе тестирования автоматически отсеиваются дубликаты крахов, выявляются регрессии в коде (bisection, определение изменения в коде, после которого стал проявляться крах), анализируется статистика о производительности тестирования и интенсивности выявляемых крахов. Для управления и анализа результатов работы используется web-интерфейс.

Напомним, что при fuzzing-тестировании осуществляется генерация потока всевозможных случайных комбинаций входных данных, приближенных к реальным данным (например, html-страницы с случайными параметрами тегов, архивы или изображения с аномальными заголовками и т.п.), и фиксация возможных сбоев в процессе их обработки. Если какая-то последовательность приводит к краху или не соответствует ожидаемой реакции, то такое поведение с высокой вероятностью свидетельствует об ошибке или уязвимости.

  1. Главная ссылка к новости (https://opensource.googleblog....)
  2. OpenNews: Google представил OSS-Fuzz, сервис для анализа безопасности открытого ПО
  3. OpenNews: Разработчики Chromium представили кластер для автоматизации выявления уязвимостей
  4. OpenNews: Google раскрыл подробности обеспечения безопасности в своей инфраструктуре
  5. OpenNews: Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fuzz
  6. OpenNews: Неявные свойства языков программирования, которые могут привести к уязвимостям
Лицензия: CC-BY
Тип: Программы
Ключевые слова: clusterfuzz, fuzzing
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (4) RSS
  • 1.31, Аноним (31), 16:30, 08/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Не понял, 16000 ошибок пофиксили в Хроме или Хромиуме?
     
     
  • 2.34, гугель (?), 16:39, 08/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Не понял, 16000 ошибок пофиксили в Хроме или Хромиуме?

    ты думаешь, у нас специально для хромиума какие-то специальные ошибки? Нет, спасибо за комплимент, но до такого уровня наш ИИ еще не обучился.

     
  • 2.58, Sw00p aka Jerom (?), 01:13, 09/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://bugs.chromium.org/p/chromium/issues/list

    открой и посмотри сколько там Open issues)))

     

  • 1.59, лютый жабист__ (?), 07:08, 11/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что только сишники не придумают, чтобы на нормальных языках не писать :)))))))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру