导读 谷歌宣布了一个新的开源项目,旨在帮助软件开发人员轻松找到代码中的漏洞,以帮助增强软件供应链的安全性。该公司表示,只需几行代码,GitH
谷歌宣布了一个新的开源项目,旨在帮助软件开发人员轻松找到代码中的漏洞,以帮助增强软件供应链的安全性。该公司表示,只需几行代码,GitHub用户现在就可以将名为ClusterFuzzLite的工具集成到他们的工作流程中,以在提交之前对拉取请求进行模糊测试并捕获错误。
持续模糊测试已成为近来软件开发生命周期的重要组成部分,正如Google所解释的那样,它有助于捕捉那些会通过最彻底的手动检查而漏掉的错误。
事实上,最近国家标准与技术研究院(NIST)为响应白宫关于网络安全的行政命令而发布的软件验证指南,将模糊测试列为代码验证的最低标准要求。
谷歌表示,ClusterFuzzLite将作为谷歌OSS-Fuzz计划的一部分提供,自2016年宣布以来,该计划已帮助500多个关键开源项目捕获了6,500多个漏洞并修复了21,000多个功能错误。
systemd和curl等流行的开源项目已经将ClusterFuzzLite灌输到他们的代码审查过程中。
“当人类审阅者点头并批准代码并且您的静态代码分析器和linter无法检测到更多问题时,模糊测试将您带到下一个级别的代码成熟度和健壮性。curl的作者DanielStenberg指出,OSS-Fuzz和ClusterFuzzLite帮助我们将curl作为一个高质量的项目,全天候,每天和每次提交。
ClusterFuzzLite目前支持GitHubActions和GoogleCloudBuild,不过Google补充说它已经编写了可扩展的工具,并且可以毫不费力地与其他持续集成(CI)系统一起使用。
免责声明:本文由用户上传,如有侵权请联系删除!