Google, SolarWinds tarzı saldırılarla mücadele etmek için açık kaynaklı fuzzing aracı başlattı. Google, ClusterFuzzLite’ın kod kalitesini artırmaya yardımcı olacağını iddia ediyor.

Google, yazılım tedarik zincirinin güvenliğini artırmaya yardımcı olmak için yazılım geliştiricilerin kodlarındaki güvenlik açıklarını fazla çaba harcamadan bulmalarına yardımcı olmak için tasarlanmış yeni bir açık kaynak projesini duyurdu.

Şirket, sadece birkaç satır kodla GitHub kullanıcılarının artık ClusterFuzzLite adlı aracı iş akışlarına entegre ederek çekme isteklerini ortadan kaldırabileceğini ve hataları taahhüt edilmeden önce yakalayabileceklerini söylüyor.

Sürekli bulanıklaştırma, son zamanlardaki yazılım geliştirme yaşam döngüsünün önemli bir parçası haline geldi. Aksi takdirde en kapsamlı manuel kontrollerden geçebilecek hataları yakalamaya yardımcı oluyor.

Aslında, siber güvenlikle ilgili Beyaz Saray Yürütme Kararı’na yanıt olarak yayınlanan ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) yazılım doğrulama yönergeleri, kod doğrulama için minimum standart gereksinim olarak bulanıklaştırmayı listeler.

Yazılım Kalitesini İyileştirme

Google, ClusterFuzzLite’ın, 2016’daki duyurusundan bu yana 500’den fazla kritik açık kaynak projesinin 6.500’den fazla güvenlik açığını yakalamasına ve 21.000’den fazla işlevsel hatayı düzeltmesine yardımcı olan Google’ın OSS-Fuzz programının bir parçası olarak sunulacağını söyledi.

Systemd ve Curl gibi popüler açık kaynak projeleri, kod inceleme süreçlerine ClusterFuzzLite’ı çoktan dahil etti. “İnsan gözden geçirenler kodu onaylayıp onayladıklarında ve statik kod çözümleyicileriniz ve linterleriniz daha fazla sorun tespit edemediğinde, sizi bir sonraki kod olgunluğu ve sağlamlık düzeyine taşıyan şey bulanıklıktır. OSS-Fuzz ve ClusterFuzzLite, günün her saati, her gün ve her işlemde Curl’yi kaliteli bir proje olarak korumamıza yardımcı oluyor,” diye belirtiyor Curl yazarı Daniel Stenberg.

ClusterFuzzLite şu anda GitHub Actions ve Google Cloud Build’i destekliyor. Ancak Google, aracı genişletilebilir olacak şekilde yazdığını ve diğer Sürekli entegrasyon (CI) sistemleriyle fazla çaba harcamadan kullanılabileceğini ekliyor.