Google har lanceret ClusterFuzzLite, en kontinuerlig fuzzing-løsning til forbedring af softwareforsyningskædens sikkerhed.
Torsdag sagde Googles softwareingeniører Jonathan Metzman og Oliver Chang sammen med produktansvarlig for Googles CI/CD-produkter, Michael Winser, i et blogindlæg, at det nye værktøj kan køre “som en del af CI/CD-arbejdsgange for at finde sårbarheder hurtigere end nogensinde før.”
Fuzzing er en automatiseret testteknik til at finde fejl og uventet adfærd ved at indtaste ugyldige og tilfældige data i programmer. Dette kan markere sårbarheder eller fejl, der ellers kan gå ubemærket hen gennem manuel analyse.
Det nye værktøj, ClusterFuzzLite, er baseret på ClusterFuzz, en open source skalerbar fuzzing-infrastruktur, der tidligere er udgivet af Google og brugt som den uklare rygrad for OSS-Fuzz-programmet.
Ifølge Google kan ClusterFuzzLite integreres i eksisterende arbejdsgange for at fuzz pull-anmodninger, hvilket forbedrer chancen for, at sårbarheder kan findes tidligere i udviklingsprocessen, og før ændringer er begået.
Mens ClusterFuzz og ClusterFuzzLite indeholder nogle af de samme funktioner – inklusive kontinuerlig fuzzing, oprettelse af dækningsrapporter og desinficeringsstøtte – siger teamet, at den største forskel er, at ClusterFuzz er nem at konfigurere med lukkede kildeprojekter , og så udviklere kan bruge det til hurtigt at fuzze deres software.
På nuværende tidspunkt understøtter ClusterFuzzLite GitHub Actions, Google Cloud Build og Prow.
“Med ClusterFuzzLite er fuzzing ikke længere kun en idealiseret “bonus” testrunde for dem, der har adgang til det, men et kritisk must-have-trin, som alle kan bruge kontinuerligt på hvert softwareprojekt,” sagde teamet. “Ved at finde og forhindre fejl, før de kommer ind i kodebasen, kan vi bygge et mere sikkert software-økosystem.”
Dokumentation om værktøjet kan tilgås på GitHub.
I februar lancerede Google webstedet Open Source Vulnerabilities (OSV), en platform til kortlægning af open source-sårbarhed.
Tidligere og relateret dækning
Google opretter forskningsbevilling til at finde fejl i browserens JavaScript-motorer
Google open-sources Atheris, et værktøj til at finde sikkerhedsfejl i Python-kode
Google: Vores nye værktøj gør open source-sikkerhedsfejl nemmere at opdage
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Google | Sikkerheds-tv | Datastyring | CXO | Datacentre