Google startet mit FuzzBench ein Benchmark-Projekt für Fuzzing

Google hat ein neues Open-Source-Projekt vorgestellt: FuzzBench. Wie der Name erahnen lässt, handelt es sich um einen Dienst, mit dem Entwickler Benchmarks für Fuzzer erstellen können. Das soll Anwendern und Forschern helfen, verschiedene Fuzzer zu vergleichen und ihre Stärken und Schwächen zu evaluieren. Fuzzing ist eine automatisierte Softwaretesttechnik, die Applikationen Zufallsdaten zusenden, um so Situationen im Betrieb der Software zu simulieren. Dadurch können Entwickler Schwachstellen aufdecken, die andere Testverfahren nicht unbedingt offenlegen können.

FuzzBench: Was steckt dahinter?

Google erklärt in einem Blogbeitrag die Vorgehensweise des neuen Werkzeugs. Demnach sollen Forscher FuzzBench einfach in einen bestehenden Fuzzer integrieren können – Google spricht in der Regel von weniger als 50 Zeilen Code. Das Tool führt dann einen Tag lang Experimente aus. Auf Basis der daraus entstehenden Daten erstellt FuzzBench dann eine Übersicht über die Performance und vergleicht das jeweilige Produkt mit anderen populären Fuzzern. Google hat bereits 10 Fuzzer integriert, darunter AFL, LibFuzzer und Honggfuzz. Einen Report stellt Google als Beispiel bereit.

Um das Projekt weiterzuentwickeln, hofft Google auf Beiträge aus der Community. Ziel des Projekts ist es, durch die bessere Evaluation für eine größere Verbreitung von Fuzzing-Techniken zu sorgen. Wer sich FuzzBench im Detail ansehen möchte, wird im zugehörigen GitHub-Repository fündig. Google selbst hat zu Beginn des Jahres 2019 seine Testinfrastruktur ClusterFuzz als Open-Source-Projekt zur Verfügung gestellt.

Mehr dazu auf heise Developer:

• Fuzzing – Angriff ist die beste Verteidigung

(bbo)