• IT-Karriere:
  • Services:

Clusterfuzz: Google legt Werkzeug zum Fuzzen in der Cloud offen

Mit Clusterfuzz sucht Google automatisiert nach Fehlern im Chromium-Code oder in anderen Open-Source-Programmen. Die Software läuft dafür in der Google-Cloud und steht jetzt selbst als Open-Source bereit. Theoretisch könnte sie damit auf andere Cloud-APIs portiert werden.

Artikel veröffentlicht am ,
Mit Bugs, deutsch: Käfer, werden Fehler in Software bezeichnet. Google nutzt diese Analogie ausgiebig in seiner Dokumentation.
Mit Bugs, deutsch: Käfer, werden Fehler in Software bezeichnet. Google nutzt diese Analogie ausgiebig in seiner Dokumentation. (Bild: Robert, flickr.com/CC-BY-SA 2.0)

Beim sogenannten Fuzzing wird automatisiert nach Fehlern in Software gesucht, indem diese Software mit mehr oder weniger zufälligen Eingabedaten verwendet wird. So lassen sich oft sicherheitskritische Lücken entdecken. Das zeigte sich auch an der OpenSSL-Lücke Heartbleed, die durch Fuzzing erneut gefunden werden konnte. Da das Fuzzing aber teilweise sehr viele Ressourcen benötigt, hat Google diese auf seine Cloud ausgelagert und dafür Clusterfuzz entwickelt, das nun als Open-Source-Software bereitsteht.

Stellenmarkt
  1. Energieversorgung Mittelrhein AG, Koblenz
  2. RMG Messtechnik GmbH, Beindersheim (Raum Mannheim)

Die Idee von Clusterfuzz ist es, das Fuzzing kontinuierlich durchzuführen, soweit es geht zu skalieren und direkt in den Entwicklungsprozess zu integrieren. Google selbst hat Clusterfuzz für diese Zwecke für das Chromium-Projekt erstellt und nutzt dies dort seit Jahren. Die dafür bereitgestellte Infrastruktur in der Google-Cloud läuft auf über 25.000 CPU-Kernen.

Zusätzlich zu Chromium bietet Google mit dem Projekt OSS-Fuzz seit etwas mehr als zwei Jahren außerdem an, wichtige Open-Source-Projekte durch Fuzzing zu testen. Auch hierfür wird Clusterfuzz verwendet. Diese massive Rechenleistung ist in vielen Fällen tatsächlich aber nicht notwendig, da das Fuzzing mitunter bereits schon nach wenigen Minuten Fehler findet. Für riesige Projekte wie Chromium gilt das aber natürlich nicht so ohne weiteres.

Der Code zu Clusterfuzz steht auf Github unter der Apache-2-Lizenz bereit. Noch ist der Code aber eng an viele weitere Google-Werkzeuge angebunden, so dass für einen produktiven Einsatz etwa noch Googles Cloud Platform genutzt werden muss. Außerdem wird bisher nur Monorail als Bugtracker unterstützt, weil Chromium dies nutzt. Dank der Offenlegung des Codes könnte Clusterfuzz wohl aber auch auf andere Werkzeuge und Software-Schnittstellen portiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Asus TUF-RTX3080-10G-GAMING 10GB für 739€, MSI GeForce RTX™ 3080 GAMING X TRIO 10GB...
  2. (u. a. GIGABYTE GeForce RTX 3080 Eagle OC 10G für 699€, ASUS GeForce RTX 3080 TUF GAMING für...
  3. 499,99€ (Release 19.11.)
  4. (u. a. Thrustmaster T300 RS GT Edition für 259,29€ statt 331,42€ im Vergleich und ASUS TUF...

dopall 08. Feb 2019

Google Cloud ist richtig aber in diesem Zusammenhang nicht spezifisch genug. Interessant...


Folgen Sie uns
       


    •  /