Fuzzing für alle: Google verwandelt ClusterFuzz in ein Open-Source-Projekt

Die Infrastruktur hinter Googles OSS-Fuzz-Projekt steht jetzt allen Entwicklern quelloffen zur Verfügung.

In Pocket speichern vorlesen Druckansicht 14 Kommentare lesen
Google

(Bild: dpa, Marc Müller)

Lesezeit: 2 Min.
Von
  • Björn Bohn

Google hat seine Testinfrastruktur ClusterFuzz quelloffen zur Verfügung gestellt. Google hatte das Projekt erstmals vor acht Jahren vorgestellt, seit zwei Jahren ist es Teil des OSS-Fuzz-Angebots der Firma, mit dem Open-Source-Projekte auf einen kostenlosen Fuzzing-Dienst zurückgreifen können. ClusterFuzz soll eine Ende-zu-Ende-Automatisierung bieten, angefangen beim Finden eines Bugs über die Duplikation und das Reporting bis hin zum automatischen Schließen eines Reports.

Laut dem Blogbeitrag zur Ankündigung läuft ClusterFuzz bei Google auf über 25.000 Kernen. Allein in Googles Browser Chrome hat das Tool wohl über 16.000 Bugs gefunden, in über 160 Open-Source-Projekten mehr als 11.000. Es soll neue Bugs oft binnen Stunden finden und das Beheben innerhalb eines Tages verifizieren. Google stellt eine Anleitung für den Einsatz von ClusterFuzz in einer lokalen Infrastruktur bereit. Wer die Infrastruktur in Produktion einsetzen möchte, ist jedoch auf einige Dienste der Google Cloud Platform angewiesen.

Grob gesagt ist Fuzzing eine automatisierte Methode zum Finden von Fehlern in Software. Sie füttert ein Programm mit zufälligen – und dadurch unerwarteten – Eingaben, die Entwickler häufig nicht testen.

Fuzzing soll besonders effektiv beim Finden von Memory-Corruption-Bugs sein und dadurch Sicherheitslücken schließen können. Der Begriff stammt aus dem Englischen – fuzzy heißt übersetzt unscharf oder verschwommen. Den Begriff prägte Barton Miller, ein Professor an der University of Wisconsin Ende der 1980er-Jahre. (bbo)