Platon Data Intelligence.
Vertikal søgning & Ai.

CI Fuzz CLI bringer Fuzz-test til Java-applikationer

Dato:

Open source-sikkerhedsværktøjet CI Fuzz CLI understøtter nu Java, ifølge Code Intelligence, virksomheden bag projektet.

Tilbage i september meddelte Code Intelligence CI Fuzz CLI, som lader udviklere køre dækningsstyrede fuzz-tests direkte fra kommandolinjen for at finde og rette funktionelle fejl og sikkerhedssårbarheder i stor skala. CI Fuzz CLI kan integreres i almindelige byggesystemer som Maven og Bazel; integrerede udviklingsmiljøer (IDE'er) og værktøjer til kontinuerlig integration/kontinuerlig levering (CI/CD) såsom Jenkins. Oprindeligt understøttede værktøjet C, C++ og CMake. Den seneste opdatering, som inkluderer Junit-integrationen, giver Java-udviklere mulighed for at køre fuzz-tests direkte fra IDE.

Fuzz test – eller fuzzing – refererer til, hvornår testeren kaster en masse data ("fuzz") mod en applikation for at se, hvordan applikationen reagerer. Fordi inputdataene inkluderer tilfældige og ugyldige input, kan udviklere afdække problemer, som kan resultere i hukommelseskorruption, programnedbrud og sikkerhedsproblemer såsom lammelsesangreb og uopfangede undtagelser.

De seneste retningslinjer for softwareverifikation fra National Institute of Standards and Technology inkluderer en uklarhed blandt minimumsstandardkravene. Google rapporterede for nylig, at mere end 40,500 fejl i 650 open source-projekter er blevet afsløret gennem fuzz-test. Virksomheden lancerede OSS-Fuzz i 2016 som svar på Heartbleed sårbarhed, en hukommelsesbufferoverløbsfejl, der kunne være blevet opdaget ved fuzz-test.

Mens fuzz test er langsomt vinder indpas inden for open source-fællesskabet er det endnu ikke meget brugt af udviklere uden for open source og informationssikkerhed, siger Code Intelligence. En del af det er, fordi fuzzing er en specialiseret færdighed, og mange sikkerhedsteams ikke har viden og erfaring til at bruge fuzz-testværktøjer effektivt. Code Intelligence siger, at CI Fuzz CLI sænker adgangsbarrieren for fuzzing, fordi værktøjet kun har tre kommandoer. Ved at tillade udviklere at køre værktøjet fra kommandolinjen eller inden for IDE gør fuzzing mere tilgængeligt, siger virksomheden.

Det faktum, at værktøjet integreres i udvikler-workflowet, betyder, at det automatisk kan fuzze koden, når der er en ny pull- eller merge-anmodning, siger virksomheden.

"Code Intelligence hjælper udviklere med at sende sikker software ved at levere de nødvendige integrationer til at teste deres kode ved hver pull-anmodning uden nogensinde at skulle forlade deres yndlingsmiljø. Det er som at have en automatiseret sikkerhedsekspert altid ved din side,” sagde Thomas Dohmke, administrerende direktør for GitHub, i en erklæring.

spot_img

Seneste efterretninger

spot_img