| Разработчики: | |
| Дата премьеры системы: | ноябрь 2021 г |
| Отрасли: | Информационные технологии |
| Технологии: | TMS - Test Management System, Средства разработки приложений |
2021: Выпуск инструмента
11 ноября 2021 года Google объявила о выпуске инструмента ClusterFuzzLite для поиска ошибок в программном обеспечении с использованием случайных или недостоверных данных. Инструмент упрощает интеграцию фаззинга в любой рабочий процесс проекта и делает фазз-тестирование неотъемлемым стандартом при коммитах.
Фаззинг, также называемый фазз-тестированием, стал фундаментальной частью обнаружения ошибок и уязвимостей в программном обеспечении (ПО). Тестирование позволяет выявить ошибки, которые могут ускользнуть от ручных тестов, подбрасывая в код случайные и неожиданные данные, чтобы получить запредельные результаты и сбои, которые могут выявить недостатки в ПО. Этот вид тестирования особенно важен для любого ПО, которое будет подвержено внешнему пользовательскому вводу, потому что именно здесь хакеры могут попытаться использовать систему или пользователь может случайно столкнуться с ситуацией, которая приведет к серьезному сбою в приложении.
Инструмент ClusterFuzzLite работает вместе с OSS-Fuzz, программой, которая была разработана Google для обеспечения непрерывной проверки избранных основных проектов ПО с открытым исходным кодом. С момента выпуска OSS-Fuzz в 2016 году она позволила обнаружить и устранить более 6,5 тыс. уязвимостей и 21 тыс. функциональных ошибок в более чем 500 критически важных проектах с открытым исходным кодом. По словам компании, такие крупные проекты, как systemd, служба управления пользовательскими процессами в операционной системе (ОС) Linux, и curl, инструмент командной строки и библиотека для передачи данных, уже используют ClusterFuzzLite во время проверки кода.[1]
 | Когда человеческие рецензенты кивают и одобряют код, а ваши статические анализаторы кода и линтеры больше не могут обнаружить никаких проблем, фаззинг - это то, что переводит вас на следующий уровень зрелости. OSS-Fuzz и ClusterFuzzLite помогают нам поддерживать curl, как качественный проект, круглосуточно, каждый день и каждый коммит, - сказал автор curl Дэниел Стенберг (Daniel Stenberg). |  |
Пользователи GitHub могут легко добавить его в свой рабочий процесс и проводить фазз-тестирование запросов на внесение изменений для выявления ошибок до фиксации кода с помощью всего нескольких строк кода. Не менее важно, что его легко настроить и для проектов с закрытым исходным кодом. Добавив фаззинг в процессе интеграции, можно отлавливать ошибки в коде до того, как новый код будет добавлен в основную базу. На ноябрь 2021 года решение поддерживает GitHub Actions, Google Cloud Build и Prow. Инструмент был создан с учетом расширяемости систем непрерывной интеграции, и команда сделала так, чтобы добавление поддержки других систем CI было простым, имеется в виду интеграция отдельных кусочков кода приложения между собой.[2]
Примечания
Подрядчики-лидеры по количеству проектов
Солар (Solar) (47) Финансовые Информационные Системы (ФИС, FIS, Финсофт) (15) Форсайт (13) Unlimited Production (Анлимитед Продакшен, eXpress) (12) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (11) Другие (433) Солар (Solar) (6) Unlimited Production (Анлимитед Продакшен, eXpress) (4) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (4) Форсайт (3) РЖД-Технологии (3) Другие (23) Unlimited Production (Анлимитед Продакшен, eXpress) (5) Солар (Solar) (4) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (2) Axiom JDK (Аксиом) (2) Naumen (Наумен консалтинг) (1) Другие (13)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Солар (Solar) (2, 49) Microsoft (41, 47) Oracle (49, 26) Hyperledger (Open Ledger Project) (1, 23) IBM (33, 18) Другие (666, 359) Солар (Solar) (1, 6) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 6) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4) Мобильные ТелеСистемы (МТС) (1, 4) SL Soft (СЛ Софт) (1, 3) Другие (15, 24) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 5) Солар (Solar) (1, 4) Мобильные ТелеСистемы (МТС) (2, 3) Axiom JDK (Аксиом) (2, 2) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 2) Другие (13, 13) Мобильные ТелеСистемы (МТС) (1, 4) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4) Python Software Foundation (1, 3) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 3) Яндекс (Yandex) (1, 3) Другие (19, 25) Мобильные ТелеСистемы (МТС) (1, 1) Уральский центр систем безопасности (УЦСБ) (1, 1) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 1) Другие (0, 0)Распределение систем по количеству проектов, не включая партнерские решения
Solar appScreener (ранее Solar inCode) - 49 Hyperledger Fabric - 23 Windows Azure - 20 EXpress Защищенный корпоративный мессенджер - 16 FIS Platform - 16 Другие 364 Solar appScreener (ранее Solar inCode) - 6 EXpress Защищенный корпоративный мессенджер - 6 МТС Exolve - 4 Форсайт. Мобильная платформа (ранее HyperHive) - 3 РЖД и Робин: Облачная фабрика программных роботов - 3 Другие 14 EXpress Защищенный корпоративный мессенджер - 5 Solar appScreener (ранее Solar inCode) - 4 МТС Exolve - 2 Axiom JDK (ранее Liberica JDK до 2022) - 2 AppSec.Sting Платформа автоматизированного анализа защищенности приложений (ранее Стингрей) - 1 Другие 13 МТС Exolve - 4 Python - 3 Yandex AI Studio - 3 EXpress Защищенный корпоративный мессенджер - 3 Guardant SLK - 2 Другие 18 Подрядчики-лидеры по количеству проектов
Тест АйТи (Test IT) (6) Динамика (Dynamika) Новосибирск (3) ТестОпс (Инструменты тестирования) (3) Positive Technologies (Позитив Текнолоджиз) (2) Рондем (Rondem) (2) Другие (10)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Тест АйТи (Test IT) (2, 6) Динамика (Dynamika) Новосибирск (1, 5) ТестОпс (Инструменты тестирования) (1, 3) Positive Technologies (Позитив Текнолоджиз) (5, 2) Рондем (Rondem) (1, 2) Другие (61, 9) Omega (Омега-Софт), ранее Omega-R (1, 1) ТестОпс (Инструменты тестирования) (1, 1) Тест АйТи (Test IT) (1, 1) Другие (0, 0) 1С-ИжТиСи (1, 1) Positive Technologies (Позитив Текнолоджиз) (1, 1) Стингрей Технолоджиз (1, 1) AppSec Solutions (АппСек Солюшенс) (1, 1) Мобильные ТелеСистемы (МТС) (1, 1) Другие (0, 0) Рондем (Rondem) (1, 2) ТестОпс (Инструменты тестирования) (1, 2) BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1) Positive Technologies (Позитив Текнолоджиз) (1, 1) Другие (0, 0)Распределение систем по количеству проектов, не включая партнерские решения
Test IT TMS (Test Management System) - 6 Dynamika-Автотестирование - 5 ТестОпс TMS (Test Management System) - 3 Rondem NTBot (НТБот) - 2 Performance Lab Boomq Enterprise - 1 Другие 9 Test IT TMS (Test Management System) - 1 OmegaTester - 1 ТестОпс TMS (Test Management System) - 1 Другие 0 AppSec.Sting Платформа автоматизированного анализа защищенности приложений (ранее Стингрей) - 1 МТС: Ocean Облачная платформа - 1 1С:Автоматическое тестирование конфигураций - 1 PT BlackBox - 1 Другие 0 
