Google helpt ontwikkelaars applicatie bugs en -kwetsbaarheden op te sporen

Google heeft recent zijn tool Clusterfuzz open source beschikbaar gesteld, zodat ontwikkelaars tijdens het ontwikkelproces geautomatiseerd applicaties kunnen testen op mogelijke software bugs en eventuele kwetsbaarheden op het gebied van security. De tool maakt deel uit van een hele reeks van recent open source gemaakte security-oplossingen.

Met het open source beschikbaar stellen van de test-tool wil de techgigant ontwikkelaars nog meer helpen om goede en vooral veilige applicaties af te leveren. Met de tool moet het testen op mogelijke bugs in de software en gaten in de beveiliging van deze app worden versimpeld.

De tool gebruikt de methode ’fuzz testing’ om de software bugs te ontdekken. De methodiek zorgt er concreet voor dat de software grote hoeveelheden random gegenereerde data naar de betreffende applicatie wordt gestuurd of de zogeheten ‘fuzz’. Doel van dit bombardement is om zoveel mogelijk fouten te creëren. Wanneer de test is afgelopen, kunnen de ontwikkelaars deze fouten bestuderen en deze corrigeren in hun code.

Volgens Google is fuzz testing erg handig om corrupte fouten en moeilijkheden in geheugen te ontdekken die mogelijk voor beveiligingsproblemen kunnen zorgen. Bijvoorbeeld kan deze testmethode ontdekken of een bepaalde input van data ervoor zorgt dat iets in het geheugen wordt overschreven wat niet had mogen plaatsvinden. Hiermee kan onder meer injectie van malware door hackers worden voorkomen.

Bron: Google

Automatiseren van fuzz testing

De nu uitgebrachte tool van de techgigant automatiseert fuzz testing en maakt het verder mogelijk deze testen in te zetten voor het verzamelen van voorbeelden van ongewenst gedrag dat door dezelfde ontdekte fouten worden veroorzaakt. Dit helpt ontwikkelaars om op eenvoudige wijze een diagnose te stellen en de belangrijkste oorzaak van deze fouten aan te wijzen. Bovendien genereert de tool voldoende statistische gegevens om meer inzicht te krijgen in de efficiëntie van het testen op bugs.

Ook kan Clusterfuzz ervoor zorgen dat de applicatie naar behoren werkt wanneer ontwikkelaars eenmaal de fouten hebben opgespoord en hebben aangepast. Met behulp van follow-up tests bekijkt de tool of de juiste fouten zijn aangepast en geeft automatisch aan dat het probleem is opgelost na een bepaalde periode.

Onderdeel van meerdere releases

De introductie van de test tool maakt deel uit van een aantal recente releases van open source beveiligingsoplossingen van de techgigant. In de afgelopen weken werden een voor processors van mobiele devices efficiënte encryptietechnologie en een Chrome-extensie die eindgebruikers waarschuwt wanneer hun online accounts zijn gehackt als open source tools uitgebracht.

Google geeft zelf hoog op van zijn Clusterfuzz. De techgigant beweert dat het binnen enkele uren fouten in applicaties kan opsporen. Ook gebruikt het zelf de tool voor onder meer het opsporen van fouten in de code van zijn Chrome browser en een groot aantal andere projecten.