集群式模糊测试框架——ClusterFuzz
clusterfuzzScalable fuzzing infrastructure.项目地址:https://gitcode.com/gh_mirrors/cl/clusterfuzz
项目简介
ClusterFuzz,一个由谷歌开发并广泛应用于其产品的强大模糊测试框架,致力于发现软件的安全和稳定性问题。不仅如此,它还是OSS-Fuzz项目的后端支持,为850多个开源项目检测了超过28,000个bug和8,900个安全漏洞。
技术剖析
ClusterFuzz以其高度可扩展的架构著称,能适应从小型到大规模(如在100,000个虚拟机上运行的OSS-Fuzz实例)的各种集群环境。框架集成了多种覆盖率引导的模糊测试引擎(如libFuzzer、AFL、[AFL++] 和 Honggfuzz),并且支持黑盒模糊测试,实现最佳测试效果。此外,还采用了群体模糊测试和动态策略以优化结果。
应用场景
ClusterFuzz 的应用范围广泛,适用于任何希望确保产品或服务稳定性和安全性的软件开发团队。它可以无缝集成到开发流程中,自动处理以下任务:
- 准确的崩溃重复性检查。
- 自动报告、分拣和关闭错误(支持如Monorail、Jira等追踪系统)。
- 测试用例最小化,便于快速定位问题。
- 通过二分法寻找导致问题的代码修改。
- 统计分析,监控模糊测试性能和崩溃率。
- 易于使用的Web界面,方便管理和查看崩溃信息。
项目特点
- 易用性:ClusterFuzz 提供详细的文档指导,并且易于设置和维护。
- 自动化:全程自动化,从测试到错误跟踪,节省时间和资源。
- 可扩展性:无论是小规模还是大规模项目,都能轻松应对。
- 多引擎支持:根据目标软件特性,选择最合适的模糊测试引擎。
- 云认证集成:通过 Firebase 支持各种身份验证提供者。
获取帮助和支持
如果你有任何疑问、功能建议或者需要帮助,可以创建一个问题。为了获取最新更新和重要公告,请加入clusterfuzz-announce@googlegroups.com邮件列表。若想在CI/CD环境中运行简化版的ClusterFuzz,可尝试ClusterFuzzLite。
截止2023年2月,ClusterFuzz已经帮助谷歌发现了约27,000个问题,其中包括大量Chrome浏览器中的问题。如果你的项目也寻求这样的安全保障,那么ClusterFuzz无疑是一个理想的选择。
clusterfuzzScalable fuzzing infrastructure.项目地址:https://gitcode.com/gh_mirrors/cl/clusterfuzz