ClusterFuzzLite
Security-as-Code
Ciągły fuzzing uruchamiany w pipeline CI.
ClusterFuzzLite to lekka wersja ClusterFuzz przeznaczona do uruchamiania fuzzingu bezpośrednio w CI. Przy każdym pull requeście testuje zmieniony kod losowymi/wygenerowanymi danymi wejściowymi, wyłapując crash-e i błędy bezpieczeństwa zanim trafią na produkcję. Konfigurację trzymasz w repo, więc fuzzing staje się powtarzalnym krokiem pipeline’u, a nie jednorazową akcją.
Kiedy używać
- Chcesz wykrywać błędy pamięci/parsowania i podatności wcześnie, w PR.
- Masz kod podatny na nietypowe dane wejściowe (parsery, formaty, protokoły).
- Wolisz fuzzing zintegrowany z CI niż osobną infrastrukturę.
Przykład użycia
# krok w CI (skrót) — fuzzing przy PR
- run: |
python infra/cifuzz/cifuzz.py \
--fuzz-seconds 300 --sanitizer address
Wykryte awarie raportowane są wraz z reprodukującym wejściem.