模糊测试是提高本机代码安全性和可靠性的高效方法,它能够查找和消除可利用的安全缺陷,传统意义上,模糊测试对于开发人员来说是一把双刃剑,受软件开发生命周期的影响,在发现可利用的安全Bug方面非常有效,但是在利用、执行和从中提取信息方面非常复杂,这种复杂程度是需要专门的安全工程团队来构建和运行模糊测试功能,这样一来成本就会变高。OneFuzz使开发人员来能够独立执行模糊度测试,从而将漏洞的发现转移到生命周期的早期,同时不需要任何安全工程团队。微软发布OneFuzz的目标是使开发人员能够在发布之前轻松且连续地对其代码进行模糊测试,编译器领域最近的进步(LLVM是开源的,由谷歌创建)已经改变了涉及模糊测试本地代码的安全工程任务。因此,以前需要付出巨大代价的东西,现在变得十分便捷。OneFuzz项目已启用了持续的开发者驱动的Windows模糊测试,这使得微软能够在发布最新的操作系统版本之前自动加强Windows平台。通过一个命令行(嵌入到构建系统中),开发人员就能启动不同的模糊任务,从几个虚拟机到数千个内核。根据微软的介绍,OneFuzz 现在支持:
-
可组合的模糊测试工作流程:开源的方式允许用户使用自己的模糊测试工具,管理源的输入;
-
内置的整体模糊测试:各模糊测试工具默认作为一个整体来共享优势,可互相交换输入的程序;
-
程序分类以及重复数据删除:它提供了始终可复制的独特案例;
-
按需实时调试发现的崩溃:可以按需或从构建系统中调用实时调试会话;
-
可观察和可调试:每个阶段都很透明;
-
支持 Windows 和 Linux 操作系统;
-
崩溃报告通知回调:当前支持 Azure DevOps 工作项和 Microsoft Teams 消息。
Project OneFuzz现在可以在GitHub上使用。而且,OneFuzz在Github上标星572,累计分支20个,感兴趣的小伙伴们别错过了(项目地址:https:///microsoft/onefuzz)
-END-
