Разработчики Chromium представили кластер для автоматизации выявления уязвимостей

27 апреля 2012 года

Разработчики Chromium рассказали о проекте ClusterFuzz, в рамках которого создан кластер для проведения fuzzing-тестирования браузера и смежных открытых проектов. Суть метода в генерации потока всевозможных случайных комбинаций входных данных, приближенных к реальным данным (например, html-страницы с случайными параметрами тегов или изображения с аномальными заголовками), и фиксации возможных сбоев в процессе их обработки. Если какая-то последовательность приводит к краху или не соответствует ожидаемой реакции, то такое поведение с высокой вероятностью свидетельствует об ошибке или уязвимости. Для анализа причин зафиксированных крахов используется открытый инструментарий Address Sanitizer.

В настоящее время в состав кластера ClusterFuzz входит несколько сотен виртуальных машин, которые одновременно тестируют около 6000 экземпляров Chrome, автоматически собранных из последней рабочей ревизии в репозитории проекта. Ежедневно выполняется около 50 млн тестов. В течение ближайших нескольких недель размер кластера планируется увеличить примерно в 4 раза. Кластер был введён в строй в конце прошлого года, за это время с его помощью было выявлено 95 новых уязвимостей, 44 из которых были выявлены и исправлены в процессе отладки нового кода экспериментальных выпусков, т.е. данные уязвимости не фигурировали в стабильных релизах. Кроме тестирования Chrome, проверку в кластере также проходят кодовые базы проектов WebKit и FFmpeg, для которых исправления выявленных уязвимостей передаются в upstream.

Источники править

 
 
Creative Commons
Эта статья содержит материалы из статьи «Разработчики Chromium представили кластер для автоматизации выявления уязвимостей», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.