Google har lansert ClusterFuzzLite, en kontinuerlig fuzzing-løsning for å forbedre sikkerheten i programvareforsyningskjeden.
På torsdag sa Googles programvareingeniører Jonathan Metzman og Oliver Chang, sammen med produktleder for Googles CI/CD-produkter, Michael Winser, i et blogginnlegg at det nye verktøyet kan kjøre “som en del av CI/CD-arbeidsflyter for å finne sårbarheter raskere enn noen gang før.”
Fuzzing er en automatisert testteknikk for å finne feil og uventet oppførsel ved å legge inn ugyldige og tilfeldige data i programmer. Dette kan markere sårbarheter eller feil som ellers kan gå ubemerket hen gjennom manuell analyse.
Det nye verktøyet, ClusterFuzzLite, er basert på ClusterFuzz, en åpen kildekode skalerbar fuzzing-infrastruktur tidligere utgitt av Google og brukt som den uklare ryggraden for OSS-Fuzz-programmet.
I følge Google kan ClusterFuzzLite integreres i eksisterende arbeidsflyter for å fuzz pull-forespørsler, noe som forbedrer sjansen for at sårbarheter blir funnet tidligere i utviklingsprosessen og før endringer iverksettes.
Mens ClusterFuzz og ClusterFuzzLite inneholder noen av de samme funksjonene – inkludert kontinuerlig fuzzing, oppretting av dekningsrapporter og desinfeksjonsstøtte – sier teamet at hovedforskjellen er at ClusterFuzz er enkel å sette opp med lukkede kildeprosjekter , og slik at utviklere kan bruke den til raskt å fuzze programvaren deres.
Fra nå av støtter ClusterFuzzLite GitHub Actions, Google Cloud Build og Prow.
“Med ClusterFuzzLite er fuzzing ikke lenger bare en idealisert “bonus”-testrunde for de som har tilgang til det, men et kritisk må-ha-trinn som alle kan bruke kontinuerlig på hvert programvareprosjekt,” sa teamet. “Ved å finne og forhindre feil før de kommer inn i kodebasen kan vi bygge et sikrere programvareøkosystem.”
Dokumentasjon om verktøyet er tilgjengelig på GitHub.
I februar lanserte Google nettstedet Open Source Vulnerabilities (OSV), en plattform for kartlegging av åpen kildekode.
Tidligere og relatert dekning
Google oppretter forskningsstipend for å finne feil i JavaScript-motorer i nettleseren
Google åpner Atheris, et verktøy for å finne sikkerhetsfeil i Python-kode
Google: Vårt nye verktøy gjør åpen kildekode-sikkerhetsfeil lettere å oppdage
Har du et tips? Ta kontakt på en sikker måte via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Google | Sikkerhets-TV | Databehandling | CXO | Datasentre