Original-URL des Artikels: https://www.golem.de/news/clusterfuzz-google-legt-werkzeug-zum-fuzzen-in-der-cloud-offen-1902-139267.html    Veröffentlicht: 08.02.2019 10:09    Kurz-URL: https://glm.io/139267

Clusterfuzz

Google legt Werkzeug zum Fuzzen in der Cloud offen

Mit Clusterfuzz sucht Google automatisiert nach Fehlern im Chromium-Code oder in anderen Open-Source-Programmen. Die Software läuft dafür in der Google-Cloud und steht jetzt selbst als Open-Source bereit. Theoretisch könnte sie damit auf andere Cloud-APIs portiert werden.

Beim sogenannten Fuzzing wird automatisiert nach Fehlern in Software gesucht, indem diese Software mit mehr oder weniger zufälligen Eingabedaten verwendet wird. So lassen sich oft sicherheitskritische Lücken entdecken. Das zeigte sich auch an der OpenSSL-Lücke Heartbleed, die durch Fuzzing erneut gefunden werden konnte. Da das Fuzzing aber teilweise sehr viele Ressourcen benötigt, hat Google diese auf seine Cloud ausgelagert und dafür Clusterfuzz entwickelt, das nun als Open-Source-Software bereitsteht.

Die Idee von Clusterfuzz ist es, das Fuzzing kontinuierlich durchzuführen, soweit es geht zu skalieren und direkt in den Entwicklungsprozess zu integrieren. Google selbst hat Clusterfuzz für diese Zwecke für das Chromium-Projekt erstellt und nutzt dies dort seit Jahren. Die dafür bereitgestellte Infrastruktur in der Google-Cloud läuft auf über 25.000 CPU-Kernen.

Zusätzlich zu Chromium bietet Google mit dem Projekt OSS-Fuzz seit etwas mehr als zwei Jahren außerdem an, wichtige Open-Source-Projekte durch Fuzzing zu testen. Auch hierfür wird Clusterfuzz verwendet. Diese massive Rechenleistung ist in vielen Fällen tatsächlich aber nicht notwendig, da das Fuzzing mitunter bereits schon nach wenigen Minuten Fehler findet. Für riesige Projekte wie Chromium gilt das aber natürlich nicht so ohne weiteres.

Der Code zu Clusterfuzz steht auf Github unter der Apache-2-Lizenz bereit. Noch ist der Code aber eng an viele weitere Google-Werkzeuge angebunden, so dass für einen produktiven Einsatz etwa noch Googles Cloud Platform genutzt werden muss. Außerdem wird bisher nur Monorail als Bugtracker unterstützt, weil Chromium dies nutzt. Dank der Offenlegung des Codes könnte Clusterfuzz wohl aber auch auf andere Werkzeuge und Software-Schnittstellen portiert werden.  (sg)


Verwandte Artikel:
OSS-Fuzz: Google will Open-Source-Software mit Fuzzing sicherer machen   
(02.12.2016, https://glm.io/124842 )
Google: Chrome 72 verabschiedet sich von alten Protokollen   
(30.01.2019, https://glm.io/139060 )
Web-Framework: Electron arbeitet an stabilem Release-Zyklus   
(05.02.2019, https://glm.io/139196 )
Fuzzing: Google zerlegt USB-Stack des Linux-Kernels   
(08.11.2017, https://glm.io/131033 )
Project Zero: Google-Entwickler baut Windows-Loader für Linux   
(24.05.2017, https://glm.io/128006 )

© 1997–2019 Golem.de, https://www.golem.de/