Abo
  • IT-Karriere:

Clusterfuzz: Google legt Werkzeug zum Fuzzen in der Cloud offen

Mit Clusterfuzz sucht Google automatisiert nach Fehlern im Chromium-Code oder in anderen Open-Source-Programmen. Die Software läuft dafür in der Google-Cloud und steht jetzt selbst als Open-Source bereit. Theoretisch könnte sie damit auf andere Cloud-APIs portiert werden.

Artikel veröffentlicht am ,
Mit Bugs, deutsch: Käfer, werden Fehler in Software bezeichnet. Google nutzt diese Analogie ausgiebig in seiner Dokumentation.
Mit Bugs, deutsch: Käfer, werden Fehler in Software bezeichnet. Google nutzt diese Analogie ausgiebig in seiner Dokumentation. (Bild: Robert, flickr.com/CC-BY-SA 2.0)

Beim sogenannten Fuzzing wird automatisiert nach Fehlern in Software gesucht, indem diese Software mit mehr oder weniger zufälligen Eingabedaten verwendet wird. So lassen sich oft sicherheitskritische Lücken entdecken. Das zeigte sich auch an der OpenSSL-Lücke Heartbleed, die durch Fuzzing erneut gefunden werden konnte. Da das Fuzzing aber teilweise sehr viele Ressourcen benötigt, hat Google diese auf seine Cloud ausgelagert und dafür Clusterfuzz entwickelt, das nun als Open-Source-Software bereitsteht.

Stellenmarkt
  1. Universität der Bundeswehr München, Neubiberg
  2. S. Siedle & Söhne Telefon- und Telegrafenwerke OHG, Furtwangen im Schwarzwald

Die Idee von Clusterfuzz ist es, das Fuzzing kontinuierlich durchzuführen, soweit es geht zu skalieren und direkt in den Entwicklungsprozess zu integrieren. Google selbst hat Clusterfuzz für diese Zwecke für das Chromium-Projekt erstellt und nutzt dies dort seit Jahren. Die dafür bereitgestellte Infrastruktur in der Google-Cloud läuft auf über 25.000 CPU-Kernen.

Zusätzlich zu Chromium bietet Google mit dem Projekt OSS-Fuzz seit etwas mehr als zwei Jahren außerdem an, wichtige Open-Source-Projekte durch Fuzzing zu testen. Auch hierfür wird Clusterfuzz verwendet. Diese massive Rechenleistung ist in vielen Fällen tatsächlich aber nicht notwendig, da das Fuzzing mitunter bereits schon nach wenigen Minuten Fehler findet. Für riesige Projekte wie Chromium gilt das aber natürlich nicht so ohne weiteres.

Der Code zu Clusterfuzz steht auf Github unter der Apache-2-Lizenz bereit. Noch ist der Code aber eng an viele weitere Google-Werkzeuge angebunden, so dass für einen produktiven Einsatz etwa noch Googles Cloud Platform genutzt werden muss. Außerdem wird bisher nur Monorail als Bugtracker unterstützt, weil Chromium dies nutzt. Dank der Offenlegung des Codes könnte Clusterfuzz wohl aber auch auf andere Werkzeuge und Software-Schnittstellen portiert werden.



Anzeige
Top-Angebote
  1. (u. a. Kingston A400 480 GB für 41,90€ statt 50,10€ im Vergleich, Fractal Design Define R6 USB...
  2. (heute u. a. mit Serienboxen)
  3. 179,99€ (Vergleichspreis 219€)
  4. (u. a. Overwatch GOTY XBO für 15€ und Blu-ray-Angebote)

dopall 08. Feb 2019

Google Cloud ist richtig aber in diesem Zusammenhang nicht spezifisch genug. Interessant...


Folgen Sie uns
       


E-Bike-Neuerungen von Bosch angesehen

Neue Motoren und mehr Selbstständigkeit für Boschs E-Bike Systems - wir haben uns angesehen, was für 2020 geplant ist.

E-Bike-Neuerungen von Bosch angesehen Video aufrufen
Disintegration angespielt: Fast wie ein Master Chief mit Privatarmee
Disintegration angespielt
Fast wie ein Master Chief mit Privatarmee

Gamescom 2019 Ein dick gepanzerter Held auf dem Schwebegleiter plus bis zu vier Fußsoldaten, denen man Befehle erteilen kann: Das ist die Idee hinter Disintegration. Golem.de hat das Actionspiel ausprobiert.
Von Peter Steinlechner

  1. Omen HP erweitert das Command Center um Spiele-Coaching
  2. Games Spielentwickler bangen weiter um Millionenförderung
  3. Gamescom Opening Night Hubschrauber, Historie plus Tag und Nacht für Anno 1800

Erdbeobachtung: Satelliten im Dienst der erneuerbaren Energien
Erdbeobachtung
Satelliten im Dienst der erneuerbaren Energien

Von oben ist der Blick auf die Erde am besten. Satelliten werden deshalb für die Energiewende eingesetzt: Mit ihnen lassen sich beispielsweise die Standorte für Windkraftwerke oder Solaranlagen bestimmen sowie deren Ertrag prognostizieren.
Ein Bericht von Jan Oliver Löfken

  1. Rocketlab Kleine Rakete wird wiederverwendbar und trotzdem teurer
  2. Space Data Highway Esa bereitet Laser-Kommunikationsstation für den Start vor
  3. Iridium Certus Satelliten-Breitbandnetz startet mit 350 bis 700 KBit/s

Mobile Payment: Mit QR-Code-Kooperation zum europäischen Standard
Mobile Payment
Mit QR-Code-Kooperation zum europäischen Standard

Die Mobile Wallet Collaboration will ein einheitliches QR-Format als technische Grundlage für ein vereinfachtes Handling etablieren. Die Allianz aus sechs europäischen Bezahldiensten und Alipay aus China ist eine ernstzunehmende Konkurrenz für Google, Apple, Facebook, Amazon.
Von Sabine T. Ruh


      •  /