多云,有机会早期的虫子
Google已开放采购其基于ClusterFuzz云的错误查找技术,为白帽子和软件开发人员创建了一个新工具,可以在此过程中使用。
ClusterFuzz是一种在25,000多个内核上运行的模糊基础架构,是基于云的工具开发的,用于发现内存损坏错误等。该技术于2011年首次亮相。
两年前,Google开始提供clusterfuzz作为通过开源项目的免费服务oss-fuzz。
ClusterFuzz已成为Chrome和许多其他开源项目的开发过程中不可或缺的一部分,在此过程中提出了令人印象深刻的Bug发现。
Google解释说:“ ClusterFuzz在Chrome中发现了16,000多个错误,在160多个开源项目中发现了11,000多个错误。”博客文章。
将ClusterFuzz作为开源技术的发布意味着软件开发人员将能够将模糊集成到其应用程序开发工作流程中。
模糊通过自动将一系列怪异和奇妙的输入馈送到系统并记录结果,特别注意导致系统崩溃的输入的工作。
崩溃可能以将黑客控制的代码留在内存部分的方式,随后可能被执行 - 这是一个严重的安全错误。
即使没有一直以远程代码执行,错误也可以触发拒绝服务条件。
clusterfuzz更容易找到此类错误并将其发送给将其删除,然后再将其滥用到恶毒末端。
该技术经过优化,可以在Google的云上运行,并且可能需要调整以进行其他系统进行生产部署。
早期的反应来自软件开发人员是积极的。
一些技术巨头以前已将其弹性测试工具发布给开源社区。
Netflix的混乱猴子尽管它本身并不是一个模糊的工具,但这是该一般领域中有限数量的示例之一。
