Mit der Integration von Jazzer in die OSS-Fuzz-Tools von Goggle und der Core Infrastructure Initiative lassen sich Open-Source-Anwendungen prüfen, die auf der Java-Virtual-Machine-Plattform (JVM) laufen.
Jazzer ist ein Tool zum Fuzz-Testing und stammt vom deutschen Unternehmen Code Intelligence. Mit der Integration von Jazzer sei es für Open-Source-Projekte nun möglich, ihre Java-Bibiotheken mit der Infrastruktur von Google und der dort vorhandenen Rechenpower zu prüfen und abzusichern, teilt Code Intelligence mit. Kotlin, Scala, Clojure und andere JVM-Sprachen seien unterstützt.
Jazzer erlaube JVM-Code mit libFuzzer zu prüfen. Jazzer unterstütze die wichtigen libFuzzer-Features und könnte in Zukunft auch alle Features unterstützen, schreibt Google in seinem Security-Blog. Das Tool können auch schon Erfolge aufweisen und habe etwa die Lücke CVE-2021-23899 im Json-Sanitizer entdeckt. Über die Lücke sei Crosssite-Scripting möglich gewesen, so Google.




