La herramienta de seguridad de código abierto CI Fuzz CLI ahora es compatible con Java, según Code Intelligence, la empresa detrás del proyecto.
En septiembre, Code Intelligence anunció CLI difusa de CI, que permite a los desarrolladores ejecutar pruebas de fuzz guiadas por la cobertura directamente desde la línea de comandos para encontrar y corregir errores funcionales y vulnerabilidades de seguridad a escala. CI Fuzz CLI se puede integrar en sistemas de compilación comunes como Maven y Bazel; entornos de desarrollo integrados (IDE) y herramientas de integración continua/entrega continua (CI/CD) como Jenkins. Inicialmente, la herramienta admitía C, C++ y CMake. La última actualización, que incluye la integración de Junit, permite a los desarrolladores de Java ejecutar pruebas de fuzz directamente desde el IDE.
Prueba de fuzz – o fuzzing – se refiere a cuando el probador arroja una gran cantidad de datos ("fuzz") contra una aplicación para ver cómo reacciona la aplicación. Debido a que los datos de entrada incluyen entradas aleatorias y no válidas, los desarrolladores pueden descubrir problemas que podrían provocar daños en la memoria, bloqueos de aplicaciones y problemas de seguridad, como denegación de servicio y excepciones no detectadas.
Las últimas pautas para la verificación de software del Instituto Nacional de Estándares y Tecnología incluyen fuzzing entre los requisitos estándar mínimos. Google informó recientemente que se han descubierto más de 40,500 650 errores en XNUMX proyectos de código abierto a través de pruebas fuzz. La empresa lanzó OSS-Fuzz en 2016 en respuesta a la Vulnerabilidad Heartbleed, una falla de desbordamiento del búfer de memoria que podría haber sido detectada por pruebas de fuzz.
Si bien la prueba de fuzz es poco a poco ganando tracción dentro de la comunidad de código abierto, aún no es ampliamente utilizado por desarrolladores fuera del código abierto y la seguridad de la información, dice Code Intelligence. En parte, esto se debe a que la prueba de fuzzing es una habilidad especializada y muchos equipos de seguridad no tienen el conocimiento ni la experiencia para usar las herramientas de prueba de fuzzing de manera efectiva. Code Intelligence dice que CI Fuzz CLI reduce la barrera de entrada para fuzzing porque la herramienta tiene solo tres comandos. Al permitir que los desarrolladores ejecuten la herramienta desde la línea de comandos o dentro del IDE, hace que el fuzzing sea más accesible, dice la compañía.
El hecho de que la herramienta se integre en el flujo de trabajo del desarrollador significa que puede corregir automáticamente el código cada vez que haya una nueva solicitud de extracción o fusión, dice la compañía.
“Code Intelligence ayuda a los desarrolladores a enviar software seguro al proporcionar las integraciones necesarias para probar su código en cada solicitud de extracción, sin tener que abandonar su entorno favorito. Es como tener un experto en seguridad automatizada siempre a tu lado”, dijo Thomas Dohmke, CEO de GitHub, en un comunicado.
- Coinsmart. El mejor intercambio de Bitcoin y criptografía de Europa.Haga clic aquí
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/dr-tech/ci-fuzz-cli-brings-fuzz-testing-to-java-applications
