The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

08.02.2019 10:55  Google открыл код ClusterFuzz, платформы для выявления ошибок и уязвимостей

Компания Google открыла исходные тексты платформы ClusterFuzz, предназначенной для проведения fuzzing-тестирования кода с использованием кластера серверов. Кроме координации выполнения проверок ClusterFuzz также автоматизирует выполнение таких задач, как отправка уведомления разработчикам, создание заявки на исправление (issue), отслеживание исправления ошибки и закрытие отчётов после исправления. Код написан на языках Python и Go, и распространяется под лицензией Apache 2.0. Экземпляры ClusterFuzz могут запускаться на системах под управлением Linux, macOS и Windows, а также в различных облачных окружениях.

ClusterFuzz с 2011 года используется в недрах Google для выявления ошибок в кодовой базе Chrome и для обеспечения работы проекта OSS-Fuzz, в рамках которого было организовано непрерывное fuzzing-тестирование открытого ПО. Всего за время работы ClusterFuzz было выявлено более 16 тысяч ошибок в Chrome и более 11 тысяч ошибок в 160 открытых проектах, принимающих участие в программе OSS-Fuzz. Благодаря непрерывному процессу проверки актуальной кодовой базы ошибки обычно вылавливаются в течение нескольких часов после внесения в код вызывающих их изменений.

Система изначально рассчитана на организацию распределённого тестирования на большом числе узлов - например, внутренний кластер ClusterFuzz в Google включает более 25 тысяч машин (!). ClusterFuzz поддерживает различные режимы fuzzing-тестирования на базе инструментов AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL, в том числе тестирование в режиме "чёрного ящика" (проверка произвольного бинарного кода без обработки на этапе компиляции).

В процессе тестирования автоматически отсеиваются дубликаты крахов, выявляются регрессии в коде (bisection, определение изменения в коде, после которого стал проявляться крах), анализируется статистика о производительности тестирования и интенсивности выявляемых крахов. Для управления и анализа результатов работы используется web-интерфейс.

Напомним, что при fuzzing-тестировании осуществляется генерация потока всевозможных случайных комбинаций входных данных, приближенных к реальным данным (например, html-страницы с случайными параметрами тегов, архивы или изображения с аномальными заголовками и т.п.), и фиксация возможных сбоев в процессе их обработки. Если какая-то последовательность приводит к краху или не соответствует ожидаемой реакции, то такое поведение с высокой вероятностью свидетельствует об ошибке или уязвимости.

  1. Главная ссылка к новости (https://opensource.googleblog....)
  2. OpenNews: Google представил OSS-Fuzz, сервис для анализа безопасности открытого ПО
  3. OpenNews: Разработчики Chromium представили кластер для автоматизации выявления уязвимостей
  4. OpenNews: Google раскрыл подробности обеспечения безопасности в своей инфраструктуре
  5. OpenNews: Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fuzz
  6. OpenNews: Неявные свойства языков программирования, которые могут привести к уязвимостям
Лицензия: CC-BY
Тип: Программы
Ключевые слова: clusterfuzz, fuzzing
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение RSS
 
  • 1.31, Аноним (31), 16:30, 08/02/2019 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    Не понял, 16000 ошибок пофиксили в Хроме или Хромиуме?
     
     
  • 2.34, гугель (?), 16:39, 08/02/2019 [^] [ответить]     [к модератору]
  • +/
    ты думаешь, у нас специально для хромиума какие-то специальные ошибки Нет, спас... весь текст скрыт [показать]
     
  • 2.58, Sw00p aka Jerom (?), 01:13, 09/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    https://bugs.chromium.org/p/chromium/issues/list

    открой и посмотри сколько там Open issues)))

     
  • 1.59, лютый жабист__ (?), 07:08, 11/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Что только сишники не придумают, чтобы на нормальных языках не писать :)))))))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor