Abo
  • IT-Karriere:

Clusterfuzz: Google legt Werkzeug zum Fuzzen in der Cloud offen

Mit Clusterfuzz sucht Google automatisiert nach Fehlern im Chromium-Code oder in anderen Open-Source-Programmen. Die Software läuft dafür in der Google-Cloud und steht jetzt selbst als Open-Source bereit. Theoretisch könnte sie damit auf andere Cloud-APIs portiert werden.

Artikel veröffentlicht am ,
Mit Bugs, deutsch: Käfer, werden Fehler in Software bezeichnet. Google nutzt diese Analogie ausgiebig in seiner Dokumentation.
Mit Bugs, deutsch: Käfer, werden Fehler in Software bezeichnet. Google nutzt diese Analogie ausgiebig in seiner Dokumentation. (Bild: Robert, flickr.com/CC-BY-SA 2.0)

Beim sogenannten Fuzzing wird automatisiert nach Fehlern in Software gesucht, indem diese Software mit mehr oder weniger zufälligen Eingabedaten verwendet wird. So lassen sich oft sicherheitskritische Lücken entdecken. Das zeigte sich auch an der OpenSSL-Lücke Heartbleed, die durch Fuzzing erneut gefunden werden konnte. Da das Fuzzing aber teilweise sehr viele Ressourcen benötigt, hat Google diese auf seine Cloud ausgelagert und dafür Clusterfuzz entwickelt, das nun als Open-Source-Software bereitsteht.

Stellenmarkt
  1. Paul Henke GmbH & Co. KG, Löhne
  2. NÜRNBERGER Versicherung, Nürnberg

Die Idee von Clusterfuzz ist es, das Fuzzing kontinuierlich durchzuführen, soweit es geht zu skalieren und direkt in den Entwicklungsprozess zu integrieren. Google selbst hat Clusterfuzz für diese Zwecke für das Chromium-Projekt erstellt und nutzt dies dort seit Jahren. Die dafür bereitgestellte Infrastruktur in der Google-Cloud läuft auf über 25.000 CPU-Kernen.

Zusätzlich zu Chromium bietet Google mit dem Projekt OSS-Fuzz seit etwas mehr als zwei Jahren außerdem an, wichtige Open-Source-Projekte durch Fuzzing zu testen. Auch hierfür wird Clusterfuzz verwendet. Diese massive Rechenleistung ist in vielen Fällen tatsächlich aber nicht notwendig, da das Fuzzing mitunter bereits schon nach wenigen Minuten Fehler findet. Für riesige Projekte wie Chromium gilt das aber natürlich nicht so ohne weiteres.

Der Code zu Clusterfuzz steht auf Github unter der Apache-2-Lizenz bereit. Noch ist der Code aber eng an viele weitere Google-Werkzeuge angebunden, so dass für einen produktiven Einsatz etwa noch Googles Cloud Platform genutzt werden muss. Außerdem wird bisher nur Monorail als Bugtracker unterstützt, weil Chromium dies nutzt. Dank der Offenlegung des Codes könnte Clusterfuzz wohl aber auch auf andere Werkzeuge und Software-Schnittstellen portiert werden.



Anzeige
Spiele-Angebote
  1. 12,99€
  2. 17,99€
  3. (-12%) 52,99€

dopall 08. Feb 2019

Google Cloud ist richtig aber in diesem Zusammenhang nicht spezifisch genug. Interessant...


Folgen Sie uns
       


SSD-Kompendium

Sie werden alle SSDs genannt und doch gibt es gravierende Unterschiede. Golem.de-Hardware-Redakteur Marc Sauter stellt die unterschiedlichen Formfaktoren vor, spricht über Protokolle, die Geschwindigkeit und den Preis.

SSD-Kompendium Video aufrufen
WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

    •  /