A Google csütörtökön, biztonsági blogjában jelentette be, hogy megnyitotta és mindenki számára hozzáférhetővé tette egy, általa már régebb óta használt fuzzing-alapú hibakereső eszköze forrását. A ClusterFuzzLite véletlenszerű bemeneti adatokkal bombázza a kódokat hibák után kutatva, így olyan bugokat is képes megtalálni, amiket a hagyományos kódellenőrző eszközök képtelenek lennének felderíteni.

A cég az eszközt kifejezetten a folyamatos integráción (CI) alapuló munkafolyamatok támogatására fejlesztette ki, aminek lényege, hogy minden fejlesztés azonnal felvitelre és tesztelésre kerül a közös kódbázisba(n). A ClusterFuzzLite-ot néhány sorral integrálva pl. a GitHub pull-request-ek befogadási folyamatába az már az előtt képes lehet a rejtett hibák azonosítására az új módosításokban, hogy azok egyáltalán rögzítésre kerülnének a központi kódtárba.

Ugyanakkor az eszköz képes aszinkron módon alaposabb fuzzingnak is alávetni a kódokat, aminek révén rejtettebb, a mindössze a kódváltozások tesztelése során nem azonosított hibákat is megtalálhat. A megtalált hibák részleteit aztán a fejlesztők letölthetik, illetve a szoftver képes egy jelentést is készíteni arról, hogy egyáltalán a kódbázis mely részeit tudta a fuzzing segítségével letesztelni.

A Google szerint a ClusterFuzzLite-ot már több ismert nyílt forrású projekt, köztük a systemd és a curl is sikerrel használják egy ideje, és nagyon meg vannak elégedve vele. Segítségével olyan bugokat is sikerülhet felderíteni a kódbázisban, amiket a hagyományos statikus ellenőrzőeszközök és a linterek nem találnának meg.