ClusterFuzz

ClusterFuzz — разработанная Google платформа, предназначенная для выявления ошибок и уязвимостей в программном обеспечении. Инструмент использует так называемое fuzzing-тестирование кода, когда на вход программы подаются неправильные, неожиданные или случайные данные. Основная идея такого подхода состоит в том, чтобы случайным образом изменять ожидаемые программой входные данные в произвольных местах. Часто метод применяют для обнаружения нарушений целостности данных в оперативной памяти и проверки предположений о поведении программы.

2019: Раскрытие исходных кодов

В феврале 2019 года Google раскрыла исходные коды ClusterFuzz, предоставив возможность использовать платформу для анализа любых проектов Open Source.

Мы разработали ClusterFuzz больше 8 лет назад, чтобы беспрепятственно интегрироваться в рабочие процессы разработчиков и упростить поиск и устранение ошибок, — пишут участники развивающей ClusterFuzz команды Абхишек Арья, Оливер Чанг, Макс Мороз, Мартин Барбелла и Джонатан Метцман в блоге Google. — ClusterFuzz обеспечивает непрерывную автоматизацию — от обнаружения ошибок и сортировки (точная дедупликация, двоичный поиск), до составления отчетов об ошибках и, наконец, до автоматического закрытия таких отчетов.

Google раскрыла исходники платформы для выявления ошибок и уязвимостей в открытом ПО

К моменту раскрытия исходников ClusterFuzz, которые были выложены на портале GitHub, платформа выявила более 16 тыс. багов в браузере Chrome и более 11 тыс. ошибок в 160 открытых проектов, подключенных к сервису OSS-Fuzz. Последний был запущен Google в конце 2016 года для предоставления доступа к ClusterFuzz в качестве услуги.

Система ClusterFuzz изначально рассчитана на организацию распределенного тестирование на большом числе узлов — например, внутренний кластер ClusterFuzz в Google включает более 25 тысяч машин. Для выполнения открытой версии ClusterFuzz можно использовать как облачные сервисы Google, так и любые вычислительные кластеры.^[1]

Примечания