google/clusterfuzz

# ClusterFuzz

[](https://api.securityscorecards.dev/projects/github.com/google/clusterfuzz) ClusterFuzz 是一个可扩展的 [Fuzzing](https://en.wikipedia.org/wiki/Fuzzing) 基础设施，用于发现软件中的安全性和稳定性问题。 Google 使用 ClusterFuzz 对所有 Google 产品进行 Fuzzing，并将其作为 [OSS-Fuzz] 的 Fuzzing 后端。 ClusterFuzz 提供了许多功能，有助于将 Fuzzing 无缝集成到软件项目的开发流程中： - 高度可扩展。可以在任何规模的集群上运行（例如 OSS-Fuzz 实例运行在 100,000 台 VM 上）。 - 精确的崩溃去重。 - 针对各种 Issue 跟踪器（例如 [Monorail], [Jira]）的完全自动化的 Bug 提交、分类和关闭。 - 支持多种 [覆盖率引导的 Fuzzing 引擎]（[libFuzzer], [AFL], [AFL++] 和 [Honggfuzz]）以获得最佳结果（支持 [ensemble fuzzing] 和 [fuzzing strategies]）。 - 支持 [黑盒 Fuzzing]。 - 测试用例最小化。 - 通过 [二分查找 (bisection)] 发现回归问题。 - 用于分析 Fuzzer 性能和崩溃率的统计数据。 - 易于使用的 Web 界面，用于管理和查看崩溃。 - 使用 [Firebase] 支持各种身份验证提供商。 ## 概述

## 文档 您可以在[这里](https://google.github.io/clusterfuzz)找到详细的文档。 ## 战果 截至 2023 年 2 月，ClusterFuzz 在 Google 内部已发现约 27,000 个 Bug（例如 [Chrome]）。此外，ClusterFuzz 还帮助识别并修复了 [OSS-Fuzz] 整合的 [850] 个项目中的超过 [8,900] 个漏洞和 [28,000] 个 Bug。 ## 获取帮助 您可以[提交 Issue](https://github.com/google/clusterfuzz/issues/new) 来提问、请求功能或寻求帮助。 ## 保持更新 我们将使用 [clusterfuzz-announce(#)googlegroups.com](https://groups.google.com/forum/#!forum/clusterfuzz-announce) 发布有关 ClusterFuzz 的公告。 ## ClusterFuzzLite 如需运行在 CI/CD 系统上的 ClusterFuzz 轻量级版本，请查看 [ClusterFuzzLite](http://github.com/google/clusterfuzzlite)。

标签：AFL, Bug Triage, ClusterFuzz, DevSecOps, DNS 反向解析, Fuzzing, Google, Honggfuzz, LibFuzzer, Nuclei, 上游代理, 可扩展性, 回归测试, 安全基础设施, 崩溃分析, 持续测试, 智能代码审计, 测试用例最小化, 覆盖率引导, 请求拦截, 逆向工具, 集群模糊测试, 黑盒测试