ابزار امنیتی منبع باز CI Fuzz CLI اکنون از جاوا پشتیبانی می کندطبق گفته Code Intelligence، شرکت سازنده این پروژه.
در ماه سپتامبر، Code Intelligence اعلام کرد CI Fuzz CLI، که به توسعه دهندگان اجازه می دهد تست های فازی هدایت شده با پوشش را مستقیماً از خط فرمان برای یافتن و رفع اشکالات عملکردی و آسیب پذیری های امنیتی در مقیاس اجرا کنند. CI Fuzz CLI را می توان در سیستم های ساخت رایج مانند Maven و Bazel ادغام کرد. محیط های توسعه یکپارچه (IDE) و ابزارهای یکپارچه سازی/تحویل پیوسته (CI/CD) مانند جنکینز. در ابتدا، این ابزار از C، C++ و CMake پشتیبانی می کرد. آخرین به روز رسانی، که شامل ادغام Junit است، به توسعه دهندگان جاوا اجازه می دهد تا تست های فاز را مستقیماً از IDE اجرا کنند.
تست فاز – یا fuzzing – به زمانی اشاره دارد که تستر داده های زیادی ("fuzz") در برابر یک برنامه کاربردی پرتاب می کند برای مشاهده واکنش برنامه از آنجایی که دادههای ورودی شامل ورودیهای تصادفی و نامعتبر است، توسعهدهندگان میتوانند مشکلاتی را کشف کنند که میتواند منجر به خرابی حافظه، خرابی برنامهها و مسائل امنیتی مانند انکار سرویس و استثنائات نامشخص شود.
آخرین دستورالعمل برای تأیید نرم افزار از مؤسسه ملی استاندارد و فناوری شامل فازی سازی در بین حداقل الزامات استاندارد است. گوگل اخیرا گزارش داده است که بیش از 40,500 باگ در 650 پروژه منبع باز از طریق تست فاز کشف شده است. این شرکت راه اندازی شد OSS-Fuzz در سال 2016 در پاسخ به آسیب پذیری قلبیک نقص سرریز بافر حافظه که میتوانست با آزمایش فازی شناسایی شود.
در حالی که تست فازی است به آرامی جذب می شود Code Intelligence می گوید، در جامعه منبع باز، هنوز به طور گسترده توسط توسعه دهندگان خارج از منبع باز و امنیت اطلاعات استفاده نشده است. بخشی از آن به این دلیل است که fuzzing یک مهارت تخصصی است و بسیاری از تیمهای امنیتی دانش و تجربه لازم برای استفاده مؤثر از ابزارهای تست فاز را ندارند. Code Intelligence می گوید CI Fuzz CLI مانع ورود برای fuzzing را کاهش می دهد زیرا ابزار فقط سه دستور دارد. این شرکت میگوید با اجازه دادن به توسعهدهندگان برای اجرای ابزار از خط فرمان یا درون IDE، fuzzing را در دسترستر میکند.
این شرکت میگوید این واقعیت که این ابزار در گردش کار توسعهدهنده ادغام میشود به این معنی است که میتواند هر زمان که یک درخواست جدید برای کشش یا ادغام وجود داشته باشد، به طور خودکار کد را فازی کند.
«هوش کد به توسعهدهندگان کمک میکند تا نرمافزارهای ایمن را با ارائه ادغامهای لازم برای آزمایش کد خود در هر درخواست کشش، بدون نیاز به ترک محیط مورد علاقه خود، ارسال کنند. توماس دومکه، مدیرعامل گیت هاب، در بیانیه ای گفت: مانند این است که یک متخصص امنیت خودکار همیشه در کنار شما باشد.
- Coinsmart. بهترین صرافی بیت کوین و کریپتو اروپا.اینجا کلیک کنید
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/dr-tech/ci-fuzz-cli-brings-fuzz-testing-to-java-applications