近日，谷歌宣布開源ClusterFuzz，這是一個可擴展的模糊測試工具，可以運行在 25000 多個核心上的模糊測試基礎設施。

該工具已經(jīng)在谷歌內(nèi)部使用很久了，如果你有關注谷歌的模糊測試，對它應該不陌生，因為Google 幾年前推出了OSS-Fuzz服務，該服務實際上通過ClusterFuzz為大規(guī)模可分布式執(zhí)行提供了測試環(huán)境。，如今ClusterFuzz已開源，任何人都可以使用。

目前，ClusterFuzz在GitHub上已經(jīng)獲得2384個Star和127個Fork。（GitHub地址：https://github.com/google/clusterfuzz）

模糊測試背后的整體概念非常簡單：你可以向你的應用程序拋出大量數(shù)據(jù)（包括隨機輸入），并看看它是如何反應。通常，它會崩潰，有時候你還會發(fā)現(xiàn)內(nèi)存泄漏和安全漏洞。但是，你想要規(guī)模化解決問題，它就會變得更加復雜，這時候，你就需要ClusterFuzz這樣的工具來管理這種復雜性。

ClusterFuzz將模糊化過程自動化，從錯誤檢測到報告，然后重新測試到修復程序。該工具本身也使用了一些開源庫，如libFuzzer 和 AFL等

ClusterFuzz還提供了許多功能特性：

高度可擴展。谷歌的內(nèi)部實例運行在超過25,000臺機器上。

準確的重復數(shù)據(jù)刪除（Accurate deduplication）

問題跟蹤器的全自動錯誤歸檔和關閉。

測試用例最小化。

通過二分法回歸查找。

用于分析fuzzer性能和崩潰率的統(tǒng)計信息。

易于使用的Web界面，用于管理和查看崩潰。

支持引導模糊（例如libFuzzer和AFL）和blackbox模糊測試。

ClusterFuzz 已經(jīng)在 Chrome 中發(fā)現(xiàn)了超過 16000 個 bug，在與 OSS-Fuzz 集成的 160 多個開源項目中發(fā)現(xiàn)了超過 11000 個 bug。現(xiàn)在大部分軟件測試和部署工具鏈都是自動化的，所以現(xiàn)在模糊測試成為一個熱門話題也就不足為奇了。