Google telah mengumumkan yang baru sumber terbuka (terbuka di tab baru) proyek yang dirancang untuk membantu pengembang perangkat lunak (terbuka di tab baru) menemukan kerentanan dalam kode mereka, tanpa banyak usaha, untuk membantu meningkatkan keamanan rantai pasokan perangkat lunak.
Perusahaan mengatakan bahwa hanya dengan beberapa baris kode, pengguna GitHub sekarang akan dapat mengintegrasikan alat, bernama ClusterFuzzLite, ke dalam alur kerja mereka untuk fuzz menarik permintaan dan menangkap bug sebelum dilakukan.
Fuzzing terus-menerus telah menjadi bagian penting dari siklus hidup pengembangan perangkat lunak akhir-akhir ini, dan seperti yang dijelaskan Google, membantu menangkap bug yang jika tidak lolos melalui pemeriksaan manual yang paling menyeluruh.
Faktanya, pedoman National Institute of Standards and Technology (NIST) AS baru-baru ini untuk verifikasi perangkat lunak, dirilis sebagai tanggapan atas Perintah Eksekutif Gedung Putih (terbuka di tab baru) pada keamanan cyber (terbuka di tab baru)mencantumkan fuzzing sebagai persyaratan standar minimum untuk verifikasi kode.
Meningkatkan kualitas perangkat lunak
Google mengatakan ClusterFuzzLite akan ditawarkan sebagai bagian dari program OSS-Fuzz Google, yang sejak diumumkan pada tahun 2016 telah membantu lebih dari 500 proyek open source penting menangkap lebih dari 6.500 kerentanan dan memperbaiki lebih dari 21.000 bug fungsional.
Proyek open source populer seperti systemd dan curl telah memasukkan ClusterFuzzLite ke dalam proses peninjauan kode mereka.
“Ketika peninjau manusia mengangguk dan menyetujui kode dan penganalisa kode statis dan linter Anda tidak dapat mendeteksi masalah lagi, fuzzing adalah apa yang membawa Anda ke tingkat kedewasaan dan ketahanan kode berikutnya. OSS-Fuzz dan ClusterFuzzLite membantu kami mempertahankan curl sebagai proyek berkualitas, sepanjang waktu, setiap hari, dan setiap komitmen,” kata Daniel Stenberg, penulis curl.
ClusterFuzzLite saat ini mendukung GitHub Actions dan Google Cloud Build, meskipun Google menambahkan bahwa alat tersebut telah ditulis agar dapat diperluas, dan dapat digunakan dengan sistem integrasi Berkelanjutan (CI) lainnya tanpa banyak usaha.
Ingin membuat kode? Lihat ringkasan kami tentang laptop terbaik untuk pemrograman (terbuka di tab baru)
