| Разработчики: | |
| Дата премьеры системы: | ноябрь 2021 г |
| Отрасли: | Информационные технологии |
| Технологии: | TMS - Test Management System, Средства разработки приложений |
2021: Выпуск инструмента
11 ноября 2021 года Google объявила о выпуске инструмента ClusterFuzzLite для поиска ошибок в программном обеспечении с использованием случайных или недостоверных данных. Инструмент упрощает интеграцию фаззинга в любой рабочий процесс проекта и делает фазз-тестирование неотъемлемым стандартом при коммитах.
Фаззинг, также называемый фазз-тестированием, стал фундаментальной частью обнаружения ошибок и уязвимостей в программном обеспечении (ПО). Тестирование позволяет выявить ошибки, которые могут ускользнуть от ручных тестов, подбрасывая в код случайные и неожиданные данные, чтобы получить запредельные результаты и сбои, которые могут выявить недостатки в ПО. Этот вид тестирования особенно важен для любого ПО, которое будет подвержено внешнему пользовательскому вводу, потому что именно здесь хакеры могут попытаться использовать систему или пользователь может случайно столкнуться с ситуацией, которая приведет к серьезному сбою в приложении.
Инструмент ClusterFuzzLite работает вместе с OSS-Fuzz, программой, которая была разработана Google для обеспечения непрерывной проверки избранных основных проектов ПО с открытым исходным кодом. С момента выпуска OSS-Fuzz в 2016 году она позволила обнаружить и устранить более 6,5 тыс. уязвимостей и 21 тыс. функциональных ошибок в более чем 500 критически важных проектах с открытым исходным кодом. По словам компании, такие крупные проекты, как systemd, служба управления пользовательскими процессами в операционной системе (ОС) Linux, и curl, инструмент командной строки и библиотека для передачи данных, уже используют ClusterFuzzLite во время проверки кода.[1]
 | Когда человеческие рецензенты кивают и одобряют код, а ваши статические анализаторы кода и линтеры больше не могут обнаружить никаких проблем, фаззинг - это то, что переводит вас на следующий уровень зрелости. OSS-Fuzz и ClusterFuzzLite помогают нам поддерживать curl, как качественный проект, круглосуточно, каждый день и каждый коммит, - сказал автор curl Дэниел Стенберг (Daniel Stenberg). |  |
Пользователи GitHub могут легко добавить его в свой рабочий процесс и проводить фазз-тестирование запросов на внесение изменений для выявления ошибок до фиксации кода с помощью всего нескольких строк кода. Не менее важно, что его легко настроить и для проектов с закрытым исходным кодом. Добавив фаззинг в процессе интеграции, можно отлавливать ошибки в коде до того, как новый код будет добавлен в основную базу. На ноябрь 2021 года решение поддерживает GitHub Actions, Google Cloud Build и Prow. Инструмент был создан с учетом расширяемости систем непрерывной интеграции, и команда сделала так, чтобы добавление поддержки других систем CI было простым, имеется в виду интеграция отдельных кусочков кода приложения между собой.[2]
Примечания
Подрядчики-лидеры по количеству проектов
Солар (Solar) (47) Финансовые Информационные Системы (ФИС, FIS, Финсофт) (15) Форсайт (13) Unlimited Production (Анлимитед Продакшен, eXpress) (12) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (11) Другие (433) Солар (Solar) (6) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (4) Unlimited Production (Анлимитед Продакшен, eXpress) (4) РЖД-Технологии (3) Robin (Робин) (3) Другие (23) Unlimited Production (Анлимитед Продакшен, eXpress) (5) Солар (Solar) (4) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (2) Axiom JDK (Аксиом) (2) Наносемантика (Nanosemantics Lab) (1) Другие (13)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Солар (Solar) (2, 49) Microsoft (41, 47) Oracle (49, 26) Hyperledger (Open Ledger Project) (1, 23) IBM (33, 18) Другие (666, 359) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 6) Солар (Solar) (1, 6) Мобильные ТелеСистемы (МТС) (1, 4) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4) Форсайт (1, 3) Другие (15, 24) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 5) Солар (Solar) (1, 4) Мобильные ТелеСистемы (МТС) (2, 3) Axiom JDK (Аксиом) (2, 2) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 2) Другие (13, 13) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4) Мобильные ТелеСистемы (МТС) (1, 4) Яндекс (Yandex) (1, 3) Python Software Foundation (1, 3) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 3) Другие (19, 25) Уральский центр систем безопасности (УЦСБ) (1, 1) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 1) Мобильные ТелеСистемы (МТС) (1, 1) Другие (0, 0)Распределение систем по количеству проектов, не включая партнерские решения
Solar appScreener (ранее Solar inCode) - 49 Hyperledger Fabric - 23 Windows Azure - 20 FIS Platform - 16 EXpress Защищенный корпоративный мессенджер - 16 Другие 364 Solar appScreener (ранее Solar inCode) - 6 EXpress Защищенный корпоративный мессенджер - 6 МТС Exolve - 4 РЖД и Робин: Облачная фабрика программных роботов - 3 Форсайт. Мобильная платформа (ранее HyperHive) - 3 Другие 14 EXpress Защищенный корпоративный мессенджер - 5 Solar appScreener (ранее Solar inCode) - 4 МТС Exolve - 2 Axiom JDK (ранее Liberica JDK до 2022) - 2 Docker Платформа распределённых приложений - 1 Другие 13 МТС Exolve - 4 Yandex AI Studio - 3 EXpress Защищенный корпоративный мессенджер - 3 Python - 3 Eftech.Factory - 2 Другие 18 Подрядчики-лидеры по количеству проектов
Тест АйТи (Test IT) (6) Динамика (Dynamika) Новосибирск (3) ТестОпс (Инструменты тестирования) (3) Рондем (Rondem) (2) Positive Technologies (Позитив Текнолоджиз) (2) Другие (10)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Тест АйТи (Test IT) (2, 6) Динамика (Dynamika) Новосибирск (1, 5) ТестОпс (Инструменты тестирования) (1, 3) Positive Technologies (Позитив Текнолоджиз) (5, 2) Рондем (Rondem) (1, 2) Другие (61, 9) Тест АйТи (Test IT) (1, 1) Omega (Омега-Софт), ранее Omega-R (1, 1) ТестОпс (Инструменты тестирования) (1, 1) Другие (0, 0) Стингрей Технолоджиз (1, 1) AppSec Solutions (АппСек Солюшенс) (1, 1) Мобильные ТелеСистемы (МТС) (1, 1) 1С-ИжТиСи (1, 1) Positive Technologies (Позитив Текнолоджиз) (1, 1) Другие (0, 0) ТестОпс (Инструменты тестирования) (1, 2) Рондем (Rondem) (1, 2) Positive Technologies (Позитив Текнолоджиз) (1, 1) BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1) Другие (0, 0)Распределение систем по количеству проектов, не включая партнерские решения
Test IT TMS (Test Management System) - 6 Dynamika-Автотестирование - 5 ТестОпс TMS (Test Management System) - 3 Rondem NTBot (НТБот) - 2 Gurock Software TestRail - 1 Другие 9 OmegaTester - 1 ТестОпс TMS (Test Management System) - 1 Test IT TMS (Test Management System) - 1 Другие 0 1С:Автоматическое тестирование конфигураций - 1 PT BlackBox - 1 AppSec.Sting Платформа автоматизированного анализа защищенности приложений (ранее Стингрей) - 1 МТС: Ocean Облачная платформа - 1 Другие 0 
