微软开源持续开发模糊测试工具OneFuzz

Posted 安全牛

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了微软开源持续开发模糊测试工具OneFuzz相关的知识,希望对你有一定的参考价值。





近日,微软开源了OneFuzz——一个微软内部使用的,由开发人员驱动的持续开发模糊测试平台。开源后,世界各地的开发人员都可以通过OneFuzz直接从其开发系统接收模糊测试结果。


模糊测试是一种自动化的软件测试技术,将随机、意外、畸形和/或无效数据输入计算机程序,试图发现可能影响程序安全性和性能的异常(例如崩溃、内存泄漏等)和意外行为。


Azure驱动的持续开发模糊测试


OneFuzz项目是Azure的可扩展、自托管的Fuzzing即服务平台,该平台聚集了多个现有的Fuzzer,并可(通过自动化)整合崩溃检测、覆盖范围跟踪和输入控制等功能。


Microsoft内部团队使用OneFuzz来加强Windows、Microsoft Edge和其他软件产品的安全性开发。


“传统上,模糊测试对于开发人员来说是一把双刃剑:在软件开发生命周期中发现可行的缺陷方面非常有效,但从中获取、执行和提取信息却非常复杂。”微软首席安全软件工程贾斯汀•坎贝尔(Justin Campbell)和特殊项目管理高级总监迈克•沃克( Mike Walker)指出。


“这种复杂性要求专门的安全工程团队来开发和运行模糊测试功能,这非常有用但成本很高。使开发人员能够执行模糊测试,可以将漏洞发现转移到开发生命周期的早期,同时释放安全工程团队的精力,从事更加重要的工作。”


OneFuzz的功能


OneFuzz将允许开发人员执行模糊测试任务(规模从几台虚拟机到数千个内核不一),只需将一条命令输入开发系统即可。


该工具的功能包括:


·可编排的模糊测试工作流程:开放源代码意味着用户将可以使用自己的模糊测试工具,替换工具和管理种子输入;

·内置的集成模糊测试:默认情况下,支持多个模糊测试器协同工作,在不同模糊测试技术之间交换分享输入信息;

·程序化分类和结果去重;

·按需实时调试发现的崩溃:用户可以按需或从其开发系统中实时调试会话;

·透明化设计允许溯源到任意阶段;

·信息丰富的遥测:轻松监视所有模糊测试;

·原生设计支持多平台:可以使用用户自己的OS开发,内核或嵌套的管理程序在Windows和varios Linux OS系统上执行模糊测试;

·崩溃报告通知回调:当前支持Azure DevOps工作项和Microsoft Teams消息;

·代码覆盖率KPI:用户可以使用代码覆盖率作为关键指标来监视进度并激发测试。


OneFuzz将在未来几天通过GitHub(https://github.com/microsoft/onefuzz)提供给全球。微软表示将继续通过公司各个团队的贡献来更新和扩展它,并欢迎来自更大范围的开源社区的贡献和建议。


相关阅读





合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com





以上是关于微软开源持续开发模糊测试工具OneFuzz的主要内容,如果未能解决你的问题,请参考以下文章

微软官宣:史上最贵开发工具 75亿美金收购GitHub

报告|关于容器开源社区开发工具,这里有一份调查

谷歌开源模糊测试工具:ClusterFuzz 安装方法

微软开发工具 Tye 宣布开源 !

开源项目安全评估-Scorecard

ethr 微软开源的tcp udp http 网络性能测试工具