Security Blog
The latest news and insights from Google on security and safety on the Internet
Open sourcing ClusterFuzz
7 лютого 2019 р.
Posted by Abhishek Arya, Oliver Chang, Max Moroz, Martin Barbella and Jonathan Metzman (ClusterFuzz team)
[Cross-posted from the
Google Open-Source Blog
]
Fuzzing
is an automated method for detecting bugs in software that works by feeding unexpected inputs to a target program. It is effective at finding
memory corruption bugs
, which often have
serious
security
implications
. Manually finding these issues is both difficult and time consuming, and bugs often slip through despite rigorous code review practices. For software projects written in an
unsafe
language such as C or C++, fuzzing is a crucial part of ensuring their security and stability.
In order for fuzzing to be truly effective, it must be continuous, done at scale, and integrated into the development process of a software project. To
provide these features
for Chrome, we wrote ClusterFuzz, a fuzzing infrastructure running on over 25,000 cores. Two years ago, we began offering ClusterFuzz as a free service to open source projects through
OSS-Fuzz
.
Today, we’re announcing that
ClusterFuzz
is now open source and available for anyone to use.
We developed ClusterFuzz over eight years to fit seamlessly into developer workflows, and to make it dead simple to find bugs and get them fixed. ClusterFuzz provides end-to-end automation, from bug detection, to triage (accurate deduplication,
bisection
), to bug reporting, and finally to automatic closure of bug reports.
ClusterFuzz has found more than
16,000
bugs in Chrome and more than
11,000
bugs in over
160
open source projects integrated with OSS-Fuzz. It is an integral part of the development process of Chrome and many other open source projects. ClusterFuzz is often able to detect
bugs
hours after they are introduced and verify the fix within a day.
Check out our
GitHub repository
. You can try ClusterFuzz locally by following these
instructions
. In
production
, ClusterFuzz depends on some key
Google Cloud Platform
services, but you can use your own compute cluster. We welcome your contributions and look forward to any suggestions to help improve and extend this infrastructure. Through open sourcing ClusterFuzz, we hope to encourage all software developers to integrate fuzzing into their workflows.
Немає коментарів :
Дописати коментар
Мітки
#sharethemicincyber
#supplychain #security #opensource
AI Security
android
android security
android tr
app security
big data
biometrics
blackhat
C++
chrome
chrome enterprise
chrome security
connected devices
CTF
diversity
encryption
federated learning
fuzzing
Gboard
google play
google play protect
hacking
interoperability
iot security
kubernetes
linux kernel
memory safety
Open Source
pha family highlights
pixel
privacy
private compute core
Rowhammer
rust
Security
security rewards program
sigstore
spyware
supply chain
targeted spyware
tensor
Titan M2
VDP
vulnerabilities
workshop
Archive
2025
черв.
трав.
квіт.
бер.
лют.
січ.
2024
груд.
лист.
жовт.
вер.
серп.
лип.
черв.
трав.
квіт.
бер.
лют.
січ.
2023
груд.
лист.
жовт.
вер.
серп.
лип.
черв.
трав.
квіт.
бер.
лют.
січ.
2022
груд.
лист.
жовт.
вер.
серп.
лип.
черв.
трав.
квіт.
бер.
лют.
січ.
2021
груд.
лист.
жовт.
вер.
серп.
лип.
черв.
трав.
квіт.
бер.
лют.
січ.
2020
груд.
лист.
жовт.
вер.
серп.
лип.
черв.
трав.
квіт.
бер.
лют.
січ.
2019
груд.
лист.
жовт.
вер.
серп.
лип.
черв.
трав.
квіт.
бер.
лют.
січ.
2018
груд.
лист.
жовт.
вер.
серп.
лип.
черв.
трав.
квіт.
бер.
лют.
січ.
2017
груд.
лист.
жовт.
вер.
лип.
черв.
трав.
квіт.
бер.
лют.
січ.
2016
груд.
лист.
жовт.
вер.
серп.
лип.
черв.
трав.
квіт.
бер.
лют.
січ.
2015
груд.
лист.
жовт.
вер.
серп.
лип.
черв.
трав.
квіт.
бер.
лют.
січ.
2014
груд.
лист.
жовт.
вер.
серп.
лип.
черв.
квіт.
бер.
лют.
січ.
2013
груд.
лист.
жовт.
серп.
черв.
трав.
квіт.
бер.
лют.
січ.
2012
груд.
вер.
серп.
черв.
трав.
квіт.
бер.
лют.
січ.
2011
груд.
лист.
жовт.
вер.
серп.
лип.
черв.
трав.
квіт.
бер.
лют.
2010
лист.
жовт.
вер.
серп.
лип.
трав.
квіт.
бер.
2009
лист.
жовт.
серп.
лип.
черв.
бер.
2008
груд.
лист.
жовт.
серп.
лип.
трав.
лют.
2007
лист.
жовт.
вер.
лип.
черв.
трав.
Feed
Follow @google
Follow
Give us feedback in our
Product Forums
.
Follow
Немає коментарів :
Дописати коментар