هوش داده افلاطون
جستجوی عمودی و هوش مصنوعی

امنیت سایبری

CI Fuzz CLI تست Fuzz را به برنامه های جاوا می آورد

بازنشر افلاطون
بازنشر افلاطون

تاریخ:

نمایش ها: 147

ابزار امنیتی منبع باز CI Fuzz CLI اکنون از جاوا پشتیبانی می کندطبق گفته Code Intelligence، شرکت سازنده این پروژه.

در ماه سپتامبر، Code Intelligence اعلام کرد CI Fuzz CLI، که به توسعه دهندگان اجازه می دهد تست های فازی هدایت شده با پوشش را مستقیماً از خط فرمان برای یافتن و رفع اشکالات عملکردی و آسیب پذیری های امنیتی در مقیاس اجرا کنند. CI Fuzz CLI را می توان در سیستم های ساخت رایج مانند Maven و Bazel ادغام کرد. محیط های توسعه یکپارچه (IDE) و ابزارهای یکپارچه سازی/تحویل پیوسته (CI/CD) مانند جنکینز. در ابتدا، این ابزار از C، C++ و CMake پشتیبانی می کرد. آخرین به روز رسانی، که شامل ادغام Junit است، به توسعه دهندگان جاوا اجازه می دهد تا تست های فاز را مستقیماً از IDE اجرا کنند.

تست فاز – یا fuzzing – به زمانی اشاره دارد که تستر داده های زیادی ("fuzz") در برابر یک برنامه کاربردی پرتاب می کند برای مشاهده واکنش برنامه از آنجایی که داده‌های ورودی شامل ورودی‌های تصادفی و نامعتبر است، توسعه‌دهندگان می‌توانند مشکلاتی را کشف کنند که می‌تواند منجر به خرابی حافظه، خرابی برنامه‌ها و مسائل امنیتی مانند انکار سرویس و استثنائات نامشخص شود.

آخرین دستورالعمل برای تأیید نرم افزار از مؤسسه ملی استاندارد و فناوری شامل فازی سازی در بین حداقل الزامات استاندارد است. گوگل اخیرا گزارش داده است که بیش از 40,500 باگ در 650 پروژه منبع باز از طریق تست فاز کشف شده است. این شرکت راه اندازی شد OSS-Fuzz در سال 2016 در پاسخ به آسیب پذیری قلبیک نقص سرریز بافر حافظه که می‌توانست با آزمایش فازی شناسایی شود.

در حالی که تست فازی است به آرامی جذب می شود Code Intelligence می گوید، در جامعه منبع باز، هنوز به طور گسترده توسط توسعه دهندگان خارج از منبع باز و امنیت اطلاعات استفاده نشده است. بخشی از آن به این دلیل است که fuzzing یک مهارت تخصصی است و بسیاری از تیم‌های امنیتی دانش و تجربه لازم برای استفاده مؤثر از ابزارهای تست فاز را ندارند. Code Intelligence می گوید CI Fuzz CLI مانع ورود برای fuzzing را کاهش می دهد زیرا ابزار فقط سه دستور دارد. این شرکت می‌گوید با اجازه دادن به توسعه‌دهندگان برای اجرای ابزار از خط فرمان یا درون IDE، fuzzing را در دسترس‌تر می‌کند.

این شرکت می‌گوید این واقعیت که این ابزار در گردش کار توسعه‌دهنده ادغام می‌شود به این معنی است که می‌تواند هر زمان که یک درخواست جدید برای کشش یا ادغام وجود داشته باشد، به طور خودکار کد را فازی کند.

«هوش کد به توسعه‌دهندگان کمک می‌کند تا نرم‌افزارهای ایمن را با ارائه ادغام‌های لازم برای آزمایش کد خود در هر درخواست کشش، بدون نیاز به ترک محیط مورد علاقه خود، ارسال کنند. توماس دومکه، مدیرعامل گیت هاب، در بیانیه ای گفت: مانند این است که یک متخصص امنیت خودکار همیشه در کنار شما باشد.

نقطه_img

جدیدترین اطلاعات

نقطه_img

حق چاپ @ 2024 Plato Technologies Inc.

چت با ما

سلام! چگونه می توانم به شما کمک کنم؟