ClusterFuzz

ClusterFuzz — масштабируемая инфраструктура для покрытия тестами, которая выявляет проблемы безопасности и стабильности в программном обеспечении.

Google использует ClusterFuzz для покрытия тестами всех своих продуктов и как основу для OSS-Fuzz.

ClusterFuzz предоставляет множество функций, помогающих легко интегрировать покрытие тестами в процесс разработки проекта:

• Высоко масштабируемая. Может работать на любом размере кластера (например, экземпляр OSS-Fuzz работает на OnClickListener 100 000 ВМ).
• Точное удаление дубликатов сбоев.
• Полностью автоматическое создание, распределение и закрытие баг-трекеров для различных систем отслеживания проблем (например, Monorail, Jira).
• Поддержка нескольких [инструментов покрытия тестами] (libFuzzer, AFL, AFL++ и Honggfuzz) для получения оптимальных результатов (с использованием [ансамблевых методов] и [стратегий покрытия тестами]).
• Поддержка [черного ящика покрытия тестами].
• Минимизация тестовых случаев.
• Поиск регрессий через [бисекцию].
• Статистика для анализа производительности фуззинга и частоты возникновения ошибок.
• Легкий в использовании веб-интерфейс для управления и просмотра сбоев.
• Поддержка различных провайдеров аутентификации с помощью Firebase.## Обзор

Документация

Подробная документация доступна здесь.

Награды

На февраль 2023 года ClusterFuzz выявил около 27 000 уязвимостей в продуктах Google (например, [Chrome]). Кроме того, ClusterFuzz помог выявить и исправить более чем 8 900 уязвимостей и 28 000 ошибок в [850] проектах, интегрированных с OSS-Fuzz.

Получение помощи

Вы можете создать запрос, чтобы задать вопрос, сделать запрос на новые возможности или попросить помощи.

Оповещения

Мы будем использовать clusterfuzz-announce(@)\googlegroups.com для публикации новостей о ClusterFuzz.## ClusterFuzzLite Для более лёгкой версии ClusterFuzz, работающей на системах CI/CD, см. ClusterFuzzLite.