| Разработчики: | |
| Дата премьеры системы: | ноябрь 2021 г |
| Отрасли: | Информационные технологии |
| Технологии: | TMS - Test Management System, Средства разработки приложений |
2021: Выпуск инструмента
11 ноября 2021 года Google объявила о выпуске инструмента ClusterFuzzLite для поиска ошибок в программном обеспечении с использованием случайных или недостоверных данных. Инструмент упрощает интеграцию фаззинга в любой рабочий процесс проекта и делает фазз-тестирование неотъемлемым стандартом при коммитах.
Фаззинг, также называемый фазз-тестированием, стал фундаментальной частью обнаружения ошибок и уязвимостей в программном обеспечении (ПО). Тестирование позволяет выявить ошибки, которые могут ускользнуть от ручных тестов, подбрасывая в код случайные и неожиданные данные, чтобы получить запредельные результаты и сбои, которые могут выявить недостатки в ПО. Этот вид тестирования особенно важен для любого ПО, которое будет подвержено внешнему пользовательскому вводу, потому что именно здесь хакеры могут попытаться использовать систему или пользователь может случайно столкнуться с ситуацией, которая приведет к серьезному сбою в приложении.
Инструмент ClusterFuzzLite работает вместе с OSS-Fuzz, программой, которая была разработана Google для обеспечения непрерывной проверки избранных основных проектов ПО с открытым исходным кодом. С момента выпуска OSS-Fuzz в 2016 году она позволила обнаружить и устранить более 6,5 тыс. уязвимостей и 21 тыс. функциональных ошибок в более чем 500 критически важных проектах с открытым исходным кодом. По словам компании, такие крупные проекты, как systemd, служба управления пользовательскими процессами в операционной системе (ОС) Linux, и curl, инструмент командной строки и библиотека для передачи данных, уже используют ClusterFuzzLite во время проверки кода.[1]
 | Когда человеческие рецензенты кивают и одобряют код, а ваши статические анализаторы кода и линтеры больше не могут обнаружить никаких проблем, фаззинг - это то, что переводит вас на следующий уровень зрелости. OSS-Fuzz и ClusterFuzzLite помогают нам поддерживать curl, как качественный проект, круглосуточно, каждый день и каждый коммит, - сказал автор curl Дэниел Стенберг (Daniel Stenberg). |  |
Пользователи GitHub могут легко добавить его в свой рабочий процесс и проводить фазз-тестирование запросов на внесение изменений для выявления ошибок до фиксации кода с помощью всего нескольких строк кода. Не менее важно, что его легко настроить и для проектов с закрытым исходным кодом. Добавив фаззинг в процессе интеграции, можно отлавливать ошибки в коде до того, как новый код будет добавлен в основную базу. На ноябрь 2021 года решение поддерживает GitHub Actions, Google Cloud Build и Prow. Инструмент был создан с учетом расширяемости систем непрерывной интеграции, и команда сделала так, чтобы добавление поддержки других систем CI было простым, имеется в виду интеграция отдельных кусочков кода приложения между собой.[2]
Примечания
Подрядчики-лидеры по количеству проектов
Солар (ранее Ростелеком-Солар) (46) Финансовые Информационные Системы (ФИС, FIS, Финсофт) (15) Форсайт (11) Axiom JDK (БеллСофт) ранее Bellsoft (10) Бипиум (Bpium) (10) Другие (389) Солар (ранее Ростелеком-Солар) (8) Финансовые Информационные Системы (ФИС, FIS, Финсофт) (4) Консом групп, Konsom Group (КонсОМ СКС) (2) ЛАНИТ - Би Пи Эм (Lanit BPM) (2) IFellow (АйФэлл) (2) Другие (30) Солар (ранее Ростелеком-Солар) (10) Форсайт (3) Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3) Cloud.ru (Облачные технологии) ранее SberCloud (2) КРИТ (KRIT) (2) Другие (13)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Солар (ранее Ростелеком-Солар) (2, 48) Microsoft (41, 47) Oracle (49, 26) Hyperledger (Open Ledger Project) (1, 23) IBM (33, 18) Другие (595, 304) Солар (ранее Ростелеком-Солар) (1, 8) Финансовые Информационные Системы (ФИС, FIS, Финсофт) (1, 4) Microsoft (4, 3) Oracle (2, 3) SAP SE (2, 2) Другие (16, 19) Солар (ранее Ростелеком-Солар) (1, 11) Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1, 3) Форсайт (1, 3) Cloud.ru (Облачные технологии) ранее SberCloud (1, 2) Сбербанк (1, 2) Другие (9, 9) Солар (ранее Ростелеком-Солар) (1, 6) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 6) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4) Мобильные ТелеСистемы (МТС) (1, 4) РЖД-Технологии (1, 3) Другие (14, 24) Мобильные ТелеСистемы (МТС) (2, 3) Солар (ранее Ростелеком-Солар) (1, 3) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 3) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 2) Сбербанк (1, 1) Другие (12, 12)Распределение систем по количеству проектов, не включая партнерские решения
Solar appScreener (ранее Solar inCode) - 48 Hyperledger Fabric - 23 Windows Azure - 20 FIS Platform - 15 Форсайт. Мобильная платформа (ранее HyperHive) - 12 Другие 324 Solar appScreener (ранее Solar inCode) - 8 FIS Platform - 4 Турбо X - 2 Siemens Xcelerator - 2 Java - 2 Другие 22 Solar appScreener (ранее Solar inCode) - 11 Форсайт. Мобильная платформа (ранее HyperHive) - 3 BSS Digital2Go - 3 Cloud ML Space - 2 Axiom JDK (ранее Liberica JDK до 2022) - 1 Другие 8 Подрядчики-лидеры по количеству проектов
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Тест АйТи (Test IT) (2, 6) Positive Technologies (Позитив Текнолоджиз) (4, 1) Мобильные ТелеСистемы (МТС) (2, 1) Performance Lab (Перфоманс Лаб) (2, 1) 1С-ИжТиСи (1, 1) Другие (40, 2) 1С-ИжТиСи (1, 1) Мобильные ТелеСистемы (МТС) (1, 1) Positive Technologies (Позитив Текнолоджиз) (1, 1) Другие (0, 0)Распределение систем по количеству проектов, не включая партнерские решения
