• IT-Karriere:
  • Services:

Clusterfuzz: Google legt Werkzeug zum Fuzzen in der Cloud offen

Mit Clusterfuzz sucht Google automatisiert nach Fehlern im Chromium-Code oder in anderen Open-Source-Programmen. Die Software läuft dafür in der Google-Cloud und steht jetzt selbst als Open-Source bereit. Theoretisch könnte sie damit auf andere Cloud-APIs portiert werden.

Artikel veröffentlicht am ,
Mit Bugs, deutsch: Käfer, werden Fehler in Software bezeichnet. Google nutzt diese Analogie ausgiebig in seiner Dokumentation.
Mit Bugs, deutsch: Käfer, werden Fehler in Software bezeichnet. Google nutzt diese Analogie ausgiebig in seiner Dokumentation. (Bild: Robert, flickr.com/CC-BY-SA 2.0)

Beim sogenannten Fuzzing wird automatisiert nach Fehlern in Software gesucht, indem diese Software mit mehr oder weniger zufälligen Eingabedaten verwendet wird. So lassen sich oft sicherheitskritische Lücken entdecken. Das zeigte sich auch an der OpenSSL-Lücke Heartbleed, die durch Fuzzing erneut gefunden werden konnte. Da das Fuzzing aber teilweise sehr viele Ressourcen benötigt, hat Google diese auf seine Cloud ausgelagert und dafür Clusterfuzz entwickelt, das nun als Open-Source-Software bereitsteht.

Stellenmarkt
  1. SIZ GmbH, Bonn
  2. Arconic Fastening Systems / Fairchild Fasteners Europe - Camloc GmbH, Kelkheim (Taunus)

Die Idee von Clusterfuzz ist es, das Fuzzing kontinuierlich durchzuführen, soweit es geht zu skalieren und direkt in den Entwicklungsprozess zu integrieren. Google selbst hat Clusterfuzz für diese Zwecke für das Chromium-Projekt erstellt und nutzt dies dort seit Jahren. Die dafür bereitgestellte Infrastruktur in der Google-Cloud läuft auf über 25.000 CPU-Kernen.

Zusätzlich zu Chromium bietet Google mit dem Projekt OSS-Fuzz seit etwas mehr als zwei Jahren außerdem an, wichtige Open-Source-Projekte durch Fuzzing zu testen. Auch hierfür wird Clusterfuzz verwendet. Diese massive Rechenleistung ist in vielen Fällen tatsächlich aber nicht notwendig, da das Fuzzing mitunter bereits schon nach wenigen Minuten Fehler findet. Für riesige Projekte wie Chromium gilt das aber natürlich nicht so ohne weiteres.

Der Code zu Clusterfuzz steht auf Github unter der Apache-2-Lizenz bereit. Noch ist der Code aber eng an viele weitere Google-Werkzeuge angebunden, so dass für einen produktiven Einsatz etwa noch Googles Cloud Platform genutzt werden muss. Außerdem wird bisher nur Monorail als Bugtracker unterstützt, weil Chromium dies nutzt. Dank der Offenlegung des Codes könnte Clusterfuzz wohl aber auch auf andere Werkzeuge und Software-Schnittstellen portiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 1439,90€ (Vergleichspreis: 1530,95€)

dopall 08. Feb 2019

Google Cloud ist richtig aber in diesem Zusammenhang nicht spezifisch genug. Interessant...


Folgen Sie uns
       


Alienware Concept Ufo - Hands on (CES 2020)

Das Handheld-Konzept von Dell ähnelt dem der Switch, das Alienware Concept Ufo eignet sich aber eher für ernsthafte Gamer.

Alienware Concept Ufo - Hands on (CES 2020) Video aufrufen
Concept One ausprobiert: Oneplus lässt die Kameras verschwinden
Concept One ausprobiert
Oneplus lässt die Kameras verschwinden

CES 2020 Oneplus hat sein erstes Konzept-Smartphone vorgestellt. Dessen einziger Zweck es ist, die neue ausblendbare Kamera zu zeigen.
Von Tobias Költzsch

  1. Bluetooth LE Audio Neuer Standard spielt parallel auf mehreren Geräten
  2. Streaming Amazon bringt Fire TV ins Auto
  3. Thinkpad X1 Fold im Hands-off Ein Blick auf Lenovos pfiffiges Falt-Tablet

Open Power CPU: Open-Source-ISA als letzte Chance
Open Power CPU
Open-Source-ISA als letzte Chance

Die CPU-Architektur Power fristet derzeit ein Nischendasein, wird aber Open Source. Das könnte auch mit Blick auf RISC-V ein notwendiger Befreiungsschlag werden. Dafür muss aber einiges zusammenkommen und sehr viel passen.
Eine Analyse von Sebastian Grüner

  1. Open Source Monitoring-Lösung Sentry wechselt auf proprietäre Lizenz
  2. VPN Wireguard fliegt wegen Spendenaufruf aus Play Store
  3. Picolibc Neue C-Bibliothek für Embedded-Systeme vorgestellt

Holo-Monitor angeschaut: Looking Glass' 8K-Monitor erzeugt Holo-Bild
Holo-Monitor angeschaut
Looking Glass' 8K-Monitor erzeugt Holo-Bild

CES 2020 Mit seinem neuen 8K-Monitor hat Looking Glass Factory eine Möglichkeit geschaffen, ohne zusätzliche Hardware 3D-Material zu betrachten. Die holographische Projektion wird in einem Glaskubus erzeugt und sieht beeindruckend realistisch aus.
Von Tobias Költzsch und Martin Wolf

  1. UHD Alliance Fernseher mit Filmmaker-Modus kommen noch 2020
  2. Alienware Concept Ufo im Hands on Die Switch für Erwachsene
  3. Galaxy Home Mini Samsung schraubt Erwartungen an Bixby herunter

    •  /