← Katalog
E I A C

ClusterFuzzLite

Security-as-Code

Ciągły fuzzing uruchamiany w pipeline CI.

★ 530 Apache-2.0 #security#fuzzing#ci#testing

ClusterFuzzLite to lekka wersja ClusterFuzz przeznaczona do uruchamiania fuzzingu bezpośrednio w CI. Przy każdym pull requeście testuje zmieniony kod losowymi/wygenerowanymi danymi wejściowymi, wyłapując crash-e i błędy bezpieczeństwa zanim trafią na produkcję. Konfigurację trzymasz w repo, więc fuzzing staje się powtarzalnym krokiem pipeline’u, a nie jednorazową akcją.

Kiedy używać

  • Chcesz wykrywać błędy pamięci/parsowania i podatności wcześnie, w PR.
  • Masz kod podatny na nietypowe dane wejściowe (parsery, formaty, protokoły).
  • Wolisz fuzzing zintegrowany z CI niż osobną infrastrukturę.

Przykład użycia

# krok w CI (skrót) — fuzzing przy PR
- run: |
    python infra/cifuzz/cifuzz.py \
      --fuzz-seconds 300 --sanitizer address

Wykryte awarie raportowane są wraz z reprodukującym wejściem.

Warto wiedzieć

  • Uzupełnia skany statyczne (Trivy/Checkov) o testy dynamiczne.
  • Najwięcej daje przy kodzie przetwarzającym nieufne dane wejściowe.