微软全新开源查找修复 Bug 工具——Project OneFuzz
2020-09-18 11:43 来源: 互联网
2020年9月15日,北京时间,微软官方博客宣布正式推出大规模搜索和修复Bug工具ProjectOneFuzz。OneFuzz是一个开源的Azure模糊测试框架。
模糊测试本质上是通过使用格式错误的数据攻击应用程序,然后观察应用程序成功程序是否有异常,从而确定是否存在安全漏洞。
长期以来,模糊测试起到了双刃剑的作用。模糊测试在发现安全漏洞方面非常可靠,但执行过程非常复杂。在模糊测试过程中,有必要提到两种产生随机畸形数据的方法,一种是详尽无遗的,另一种是随机的。这两种产生异常数据的方法具有检测费力、时间长、效率低的特点。即使发现问题,也很难准确定位Bug。
开源ProjectOneFuzz项目使用了Google的开源LLVM编译器,OneFuzz试图通过该编译器使模糊测试的过程变得更容易和更长。以前附加于连续构建系统的机制现在可以直接嵌入到系统中。例如,CrashDetection可以内置到asan工具中,而CoverageTrack可以内置到SaniizerCoverage(Sancov)工具中。展望未来,这些变化使得单元测试二进制文件的开发能够将各种模糊技术构建到可执行文件中。
该测试框架已应用于其他微软服务和平台,包括MicrosoftEdge和Windows.ProjectOneFuzz遵循麻省理工学院的开源协议,现在是gitHub上的开放源代码。
责任编辑:iiihyt
【慎重声明】凡本站未注明来源为"科技周刊网"的所有作品,均转载、编译或摘编自其它媒体,转载、编译或摘编的目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责。如因作品内容、版权和其他问题需要同本网联系的,请在30日内进行!