Google meluncurkan alat keamanan ClusterFuzzLite untuk CI, alur kerja CD
Security

Google meluncurkan alat keamanan ClusterFuzzLite untuk CI, alur kerja CD

Google telah meluncurkan ClusterFuzzLite, solusi fuzzing berkelanjutan untuk meningkatkan keamanan rantai pasokan perangkat lunak.

Pada hari Kamis, insinyur perangkat lunak Google Jonathan Metzman dan Oliver Chang, bersama dengan pemimpin produk untuk produk CI/CD Google, Michael Winser, mengatakan dalam sebuah posting blog bahwa alat baru dapat berjalan “sebagai bagian dari alur kerja CI/CD untuk menemukan kerentanan lebih cepat daripada pernah sebelumnya.”

Fuzzing adalah teknik pengujian otomatis untuk menemukan bug dan perilaku tak terduga dengan memasukkan data yang tidak valid dan acak ke dalam program. Ini dapat menandai kerentanan atau kesalahan yang mungkin tidak diketahui melalui analisis manual.

Alat baru, ClusterFuzzLite, didasarkan pada ClusterFuzz, infrastruktur fuzzing skalabel open source yang sebelumnya dirilis oleh Google dan digunakan sebagai tulang punggung fuzzing untuk program OSS-Fuzz.

Menurut Google, ClusterFuzzLite dapat diintegrasikan ke dalam alur kerja yang ada untuk menghilangkan permintaan tarik, meningkatkan kemungkinan kerentanan untuk ditemukan lebih awal dalam proses pengembangan dan sebelum perubahan dilakukan.

Sementara ClusterFuzz dan ClusterFuzzLite memiliki beberapa fitur yang sama — termasuk fuzzing berkelanjutan, pembuatan laporan cakupan, dan dukungan pembersih — tim mengatakan bahwa perbedaan utamanya adalah ClusterFuzz mudah disiapkan dengan proyek sumber tertutup, sehingga pengembang dapat menggunakannya itu untuk cepat fuzz perangkat lunak mereka.

Sampai sekarang, ClusterFuzzLite mendukung GitHub Actions, Google Cloud Build, dan Prow.

“Dengan ClusterFuzzLite, fuzzing tidak lagi hanya putaran “bonus” pengujian yang ideal bagi mereka yang memiliki akses ke sana, tetapi langkah kritis yang harus dimiliki setiap orang yang dapat digunakan terus menerus pada setiap proyek perangkat lunak, kata tim tersebut. “Dengan menemukan dan mencegah bug sebelum memasuki basis kode, kami dapat membangun ekosistem perangkat lunak yang lebih aman.”

Dokumentasi tentang alat ini dapat diakses di GitHub.

Pada bulan Februari, Google meluncurkan situs web Open Source Vulnerabilities (OSV), sebuah platform untuk pemetaan kerentanan open source.

Liputan sebelumnya dan terkait


Punya tip? Hubungi dengan aman melalui WhatsApp | Sinyal di +447713 025 499, atau lebih di Keybase: charlie0


Posted By : togel hari ini hongkong