近日，谷歌宣布開源ClusterFuzz，這是一個(gè)可擴(kuò)展的模糊測(cè)試工具，可以運(yùn)行在 25000 多個(gè)核心上的模糊測(cè)試基礎(chǔ)設(shè)施。

該工具已經(jīng)在谷歌內(nèi)部使用很久了，如果你有關(guān)注谷歌的模糊測(cè)試，對(duì)它應(yīng)該不陌生，因?yàn)镚oogle 幾年前推出了OSS-Fuzz服務(wù)，該服務(wù)實(shí)際上通過ClusterFuzz為大規(guī)模可分布式執(zhí)行提供了測(cè)試環(huán)境。，如今ClusterFuzz已開源，任何人都可以使用。

目前，ClusterFuzz在GitHub上已經(jīng)獲得2384個(gè)Star和127個(gè)Fork。（GitHub地址：https://github.com/google/clusterfuzz）

模糊測(cè)試背后的整體概念非常簡(jiǎn)單：你可以向你的應(yīng)用程序拋出大量數(shù)據(jù)（包括隨機(jī)輸入），并看看它是如何反應(yīng)。通常，它會(huì)崩潰，有時(shí)候你還會(huì)發(fā)現(xiàn)內(nèi)存泄漏和安全漏洞。但是，你想要規(guī)模化解決問題，它就會(huì)變得更加復(fù)雜，這時(shí)候，你就需要ClusterFuzz這樣的工具來管理這種復(fù)雜性。

ClusterFuzz將模糊化過程自動(dòng)化，從錯(cuò)誤檢測(cè)到報(bào)告，然后重新測(cè)試到修復(fù)程序。該工具本身也使用了一些開源庫，如libFuzzer 和 AFL等

ClusterFuzz還提供了許多功能特性：

高度可擴(kuò)展。谷歌的內(nèi)部實(shí)例運(yùn)行在超過25,000臺(tái)機(jī)器上。

準(zhǔn)確的重復(fù)數(shù)據(jù)刪除（Accurate deduplication）

問題跟蹤器的全自動(dòng)錯(cuò)誤歸檔和關(guān)閉。

測(cè)試用例最小化。

通過二分法回歸查找。

用于分析fuzzer性能和崩潰率的統(tǒng)計(jì)信息。

易于使用的Web界面，用于管理和查看崩潰。

支持引導(dǎo)模糊（例如libFuzzer和AFL）和blackbox模糊測(cè)試。

ClusterFuzz 已經(jīng)在 Chrome 中發(fā)現(xiàn)了超過 16000 個(gè) bug，在與 OSS-Fuzz 集成的 160 多個(gè)開源項(xiàng)目中發(fā)現(xiàn)了超過 11000 個(gè) bug?，F(xiàn)在大部分軟件測(cè)試和部署工具鏈都是自動(dòng)化的，所以現(xiàn)在模糊測(cè)試成為一個(gè)熱門話題也就不足為奇了。