Microsoft объявила о работе над новым инструментом для тестирования fuzz

Некоторое время назад Microsoft анонсировала фреймворк Project OneFuzz, инструмент с открытым исходным кодом для обнаружения и исправления ошибок в более широком масштабе с помощью Fuzz testing.

OneFuzz будет автоматизирован и заменит инструмент Microsoft Security and Risk Detection и будет работать в Azure. Конечно, весь проект доступен на GitHub, и разработчики Microsoft, работающие с Edge и Windows, уже используют его.

Что такое нечеткое тестирование?

Fuzz-тестирование - это эффективный метод поиска и исправления уязвимостей в машинном коде, который затем можно использовать для создания эксплойтов. Он включает в себя ввод большого количества случайных данных, который называется нечетким. Эти данные предназначены для того, чтобы вызвать сбой в коде/системе. Если уязвимость обнаружена, можно использовать инструмент под названием fuzzer для определения потенциальной причины ошибки. Однако этот метод также может быть вредным, потому что, несмотря на его эффективность в обнаружении вышеупомянутых угроз, его сложно поддерживать, а иногда трудно извлечь с его помощью нужную информацию.

Использование этого инструмента обычно полезно, но очень дорого. Поэтому Microsoft хочет дать разработчикам возможность легко и непрерывно тестировать код до его выпуска. Более того, технический гигант утверждает, что глобальный выпуск этого инструмента укрепит безопасность платформ, которые используются в повседневной работе.

Компания также сообщает, что недавние достижения в мире компиляторов (видимые в открытом LLVM и запущенные в Google) поставили другие задачи по тестированию кода.

Экспериментальная поддержка нечеткого тестирования также добавляется в Visual Studio. Более того, Microsoft заявляет, что хотя тестовые двоичные файлы могут создаваться компиляторами, современные разработчики столкнутся с проблемой встраивания их в конвейер CI/CD и масштабирования рабочей нагрузки нечеткого тестирования в облаке.

Возможности OneFuzz

Вот что, можно сделать с помощью инструмента OneFuzz:

  • Составной рабочий процесс с нечетким тестированием: открытый исходный код позволяет пользователям добавлять свои собственные фаззеры, обмениваться инструментами и управлять входными данными
  • Встроенный ансамблевый фаззинг: по умолчанию фаззеры работают как «команда». Они делятся друг с другом своими сильными сторонами, обмениваясь интересными данными между технологиями, используемыми для нечеткого тестирования.
  • Автоматический выбор и дедупликация результатов: этот инструмент сокращает повторяющиеся случаи ошибок до единичных уникальных записей.
  • Fuzz в операционных системах Windows и Linux: OneFuzz - кроссплатформенный проект.

Резюме

Проект OneFuzz теперь доступен на GitHub по лицензии MIT. В настоящее время участие в проекте принимают члены исследовательских групп Microsoft Research & Security Group, команды Windows, но Microsoft заявляет, что также приветствуются вклады сообщества разработчиков ПО с открытым исходным кодом. В компании заверили, что поделятся новинками, как только они появятся.

Читайте также

Комментарии ()

    Написать комментарий