Google开源持续模糊测试工具ClusterFuzzLite

Google开源ClusterFuzzLite专案，这是一个连续模糊测试解决方案，能够整合在CI/CD工作流程中，协助开发团队更快地发现漏洞。Google强调ClusterFuzzLite方便使用，仅需要几行程式码，GitHub用户就能够将ClusterFuzzLite整合到工作流程中，对拉取请求进行模糊测试，在提交之前发现错误，进而强化软件供应链整体安全性。

Google提到，持续模糊测试现在已经成为软件开发生命周期中重要的一部分，借由将未预期或是随机的资料输入到程式，以探索在人工检查时，被遗漏掉的错误，并且覆盖需要非常多人力才能顾及的范围。另外，由美国国家标准暨技术研究院NIST所发布的软件验证指南，最近回应白宫改进网络安全的执行命令，也将模糊测试列为程式码验证最低标准。

Google持续耕耘模糊测试的开源工具，之前所发布的开源软件专用的模糊测试专案OSS-Fuzz，已经被超过500个重要开源专案采用，修复超过6,500项漏洞，和21,000个功能错误。ClusterFuzzLite现在加入OSS-Fuzz的行列，协助开发人员除错。

systemd和curl等重要的大型专案，已经在其程式码审查程序中，使用ClusterFuzzLite，curl的作者Daniel Stenberg甚至提到，在人类审查员检查过后，静态程式码分析工具和linter也都找不出任何问题时，模糊测试还能够再次强化程式码的成熟度和强健度。curl现在采用OSS-Fuzz和ClusterFuzzLite，以维持专案每次提交的程式码品质。

任何专案都可以采用ClusterFuzzLite，并且整合基本的测试标准，并且从模糊测试中获益，ClusterFuzzLite具有许多与ClusterFuzz相同功能，像是连续模糊测试、支援Sanitizer和覆盖率报告等，Google强调，最重要的是，ClusterFuzzLite容易配置并且可用于闭源软件。

Google希望模糊测试不再是一个额外测试的存在，而是真的能进入到日常开发流程中，成为每个软件专案的必经步骤，防止错误进到程式码库，有助于建构更安全的软件生态系。