Google开源内部所使用的模糊测试自动调试工具ClusterFuzz,开源项目的开发人员对ClusterFuzz应该不陌生,因为 Google在2016年针对开源项目所发布的OSS-Fuzz就含有免费的ClusterFuzz服务,而此次Google则将ClusterFuzz开源给所有开发人员,不管是不是从事开源项目。
Google说明,可自动侦测软件bug的模糊测试若要有效,它必须是持续性的、大规模的,而且可集成到软件项目的开发程序中,于是他们就替Chrome打造了ClusterFuzz,可在超过2.5万个核心的集群上运行。
Google开发ClusterFuzz的历史已超过8年,现在ClusterFuzz已能无缝集成到开发人员的工作流程中,也让发现或修补错误变得非常简单。它具备了端对端的自动化能力,从发现bug、将bug归类、产生bug报告到自动结案。
迄今ClusterFuzz曾识别出Chrome的超过1.6万个bug,也替集成了OSS-Fuzz的各种开源项目找到超过1.1万个bug。
根据过去的经验,ClusterFuzz通常可在bug出现的几个小时之内就找到它们,一天之内就能提出并验证修补程序。
虽然ClusterFuzz依赖Google Cloud Platform的部分关键服务,但也允许开发人员使用自己的运算集群。