Google heeft ClusterFuzzLite gelanceerd, een continue fuzzing-oplossing voor het verbeteren van de beveiliging van de toeleveringsketen van software.
Donderdag zeiden Google-software-ingenieurs Jonathan Metzman en Oliver Chang, samen met productleider voor de CI/CD-producten van Google, Michael Winser, in een blogpost dat de nieuwe tool kan worden uitgevoerd “als onderdeel van CI/CD-workflows om kwetsbaarheden sneller dan ooit te vinden.”
Fuzzing is een geautomatiseerde testtechniek voor het vinden van bugs en onverwacht gedrag door ongeldige en willekeurige gegevens in programma's in te voeren. Dit kan kwetsbaarheden of fouten signaleren die anders onopgemerkt zouden blijven door handmatige analyse.
De nieuwe tool, ClusterFuzzLite, is gebaseerd op ClusterFuzz, een open source schaalbare fuzzing-infrastructuur die eerder door Google is uitgebracht en wordt gebruikt als de fuzzing-backbone voor het OSS-Fuzz-programma.
Volgens Google kan ClusterFuzzLite worden geïntegreerd in bestaande workflows om pull-verzoeken te fuzzen, waardoor de kans wordt vergroot dat kwetsbaarheden eerder in het ontwikkelingsproces worden gevonden en voordat wijzigingen worden doorgevoerd.
Hoewel ClusterFuzz en ClusterFuzzLite enkele van dezelfde functies bevatten, waaronder continu fuzzen, het maken van dekkingsrapporten en ondersteuning voor ontsmettingsmiddelen, zegt het team dat het belangrijkste verschil is dat ClusterFuzz eenvoudig kan worden opgezet met closed source-projecten , en dus kunnen ontwikkelaars het gebruiken om hun software snel te fuzzen.
Vanaf nu ondersteunt ClusterFuzzLite GitHub Actions, Google Cloud Build en Prow.
“Met ClusterFuzzLite is fuzzing niet langer alleen een geïdealiseerde “bonus” testronde voor degenen die er toegang toe hebben, maar een essentiële stap die iedereen continu kan gebruiken bij elk softwareproject”, aldus het team. “Door bugs te vinden en te voorkomen voordat ze de codebase binnendringen, kunnen we een veiliger software-ecosysteem bouwen.”
Documentatie over de tool is toegankelijk via GitHub.
In februari lanceerde Google de Open Source Vulnerabilities (OSV)-website, een platform voor het in kaart brengen van open source kwetsbaarheden.
Eerdere en gerelateerde berichtgeving
Google stelt onderzoekssubsidie in voor het vinden van bugs in JavaScript-engines van browsers
Google opent-source Atheris, een tool voor het vinden van beveiligingsbugs in Python-code
Google: Met onze nieuwe tool zijn open-source beveiligingsbugs gemakkelijker te herkennen
Heeft u een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Google | Beveiliging TV | Gegevensbeheer | CXO | Datacenters