Google har lanserat ClusterFuzzLite, en kontinuerlig otydlig lösning för att förbättra säkerheten i programvarans leveranskedja.
På torsdagen sa Googles mjukvaruingenjörer Jonathan Metzman och Oliver Chang, tillsammans med produktledaren för Googles CI/CD-produkter, Michael Winser, i ett blogginlägg att det nya verktyget kan köras “som en del av CI/CD-arbetsflöden för att hitta sårbarheter snabbare än någonsin.”
Fuzzing är en automatiserad testteknik för att hitta buggar och oväntat beteende genom att mata in ogiltiga och slumpmässiga data i program. Detta kan flagga upp sårbarheter eller fel som annars kan gå obemärkt förbi genom manuell analys.
Det nya verktyget, ClusterFuzzLite, är baserat på ClusterFuzz, en skalbar fuzzing-infrastruktur med öppen källkod som tidigare släppts av Google och använts som den otydliga ryggraden för OSS-Fuzz-programmet.
Enligt Google kan ClusterFuzzLite integreras i befintliga arbetsflöden för att fuzza pull-förfrågningar, vilket förbättrar chansen att sårbarheter ska hittas tidigare i utvecklingsprocessen och innan förändringar genomförs.
Medan ClusterFuzz och ClusterFuzzLite innehåller några av samma funktioner – inklusive kontinuerlig fuzzing, skapande av täckningsrapporter och desinficeringsstöd – säger teamet att den största skillnaden är att ClusterFuzz är lätt att konfigurera med projekt med sluten källkod , och så att utvecklare kan använda den för att snabbt fuzza sin programvara.
Från och med nu stöder ClusterFuzzLite GitHub Actions, Google Cloud Build och Prow.
“Med ClusterFuzzLite är fuzzing inte längre bara en idealiserad “bonus” testrunda för dem som har tillgång till det, utan ett kritiskt måste-ha-steg som alla kan använda kontinuerligt i varje mjukvaruprojekt, säger teamet. “Genom att hitta och förhindra buggar innan de kommer in i kodbasen kan vi bygga ett säkrare mjukvaruekosystem.”
Dokumentation om verktyget kan nås på GitHub.
I februari lanserade Google webbplatsen Open Source Vulnerabilities (OSV), en plattform för kartläggning av sårbarheter med öppen källkod.
Tidigare och relaterad täckning
Google inrättar forskningsanslag för att hitta buggar i webbläsarens JavaScript-motorer
Google har Atheris med öppen källkod, ett verktyg för att hitta säkerhetsbuggar i Python-kod
Google: Vårt nya verktyg gör säkerhetsbuggar med öppen källkod lättare att upptäcka
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Google | Säkerhets-TV | Datahantering | CXO | Datacenter