Avatud lähtekoodiga turvatööriist CI Fuzz CLI toetab nüüd Java-d, vastavalt projekti taga olevale ettevõttele Code Intelligence.
Septembris teatas Code Intelligence CI Fuzz CLI, mis võimaldab arendajatel otse käsurealt käitada katvusepõhiseid uduteste, et leida ja parandada funktsionaalseid vigu ja turvaauke. CI Fuzz CLI saab integreerida tavalistesse ehitussüsteemidesse, nagu Maven ja Bazel; integreeritud arenduskeskkonnad (IDE) ja pideva integreerimise/pideva tarnimise (CI/CD) tööriistad, nagu Jenkins. Algselt toetas tööriist C, C++ ja CMake. Uusim värskendus, mis sisaldab Juniti integratsiooni, võimaldab Java arendajatel käivitada fuzz-teste otse IDE-st.
Häguse testimine – või hägune – viitab sellele, millal tester paiskab rakendusele vastu palju andmeid (“fuzz”) et näha, kuidas rakendus reageerib. Kuna sisendandmed sisaldavad juhuslikke ja kehtetuid sisendeid, saavad arendajad avastada probleeme, mis võivad põhjustada mälurikkeid, rakenduste krahhi ja turvaprobleeme, nagu teenuse keelamine ja tabamata erandid.
Riikliku Standardi- ja Tehnoloogiainstituudi uusimad tarkvara verifitseerimise juhised sisaldavad miinimumstandardinõuete hulgas hägusust. Google teatas hiljuti enam kui 40,500 650 veast XNUMX avatud lähtekoodiga projektis, mis on fuzz-testimise käigus avastatud. Ettevõte käivitas OSS-Fuzz aastal 2016 vastuseks Südameverejooksu haavatavus, mälupuhvri ületäitumise viga, mille oleks võinud tuvastada fuzz-testi abil.
Kuigi fuzz-testimine on saavutab aeglaselt veojõu avatud lähtekoodiga kogukonnas ei kasuta seda veel laialdaselt arendajad väljaspool avatud lähtekoodi ja teabeturvet, ütleb Code Intelligence. Osa sellest on tingitud sellest, et hägustamine on spetsiaalne oskus ja paljudel turvameeskondadel puuduvad teadmised ja kogemused udutestimise tööriistade tõhusaks kasutamiseks. Code Intelligence ütleb, et CI Fuzz CLI vähendab fuzzi sisenemise barjääri, kuna tööriistal on ainult kolm käsku. Ettevõte ütleb, et lubades arendajatel tööriista käsurealt või IDE-s käivitada, muudab see hägustamise juurdepääsetavamaks.
Ettevõte ütleb, et asjaolu, et tööriist integreerub arendaja töövoogu, tähendab, et see võib koodi automaatselt hägustada, kui tekib uus tõmbamis- või ühendamistaotlus.
„Koodiluure aitab arendajatel tarnida turvalist tarkvara, pakkudes vajalikke integratsioone, et testida oma koodi iga tõmbetaotluse korral, ilma et nad peaksid kunagi oma lemmikkeskkonnast lahkuma. See on nagu automatiseeritud turbeekspert alati teie kõrval, ”ütles GitHubi tegevjuht Thomas Dohmke avalduses.
- Münditark. Euroopa parim Bitcoini ja krüptobörs.Kliki siia
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://www.darkreading.com/dr-tech/ci-fuzz-cli-brings-fuzz-testing-to-java-applications
