Lo strumento di sicurezza open source La CLI CI Fuzz ora supporta Java, secondo Code Intelligence, la società dietro il progetto.
A settembre, Code Intelligence lo aveva annunciato CLI Fuzz CI, che consente agli sviluppatori di eseguire test fuzz guidati dalla copertura direttamente dalla riga di comando per individuare e correggere bug funzionali e vulnerabilità della sicurezza su vasta scala. CI Fuzz CLI può essere integrato in sistemi di build comuni come Maven e Bazel; ambienti di sviluppo integrati (IDE) e strumenti di integrazione continua/distribuzione continua (CI/CD) come Jenkins. Inizialmente, lo strumento supportava C, C++ e CMake. L'ultimo aggiornamento, che include l'integrazione Junit, consente agli sviluppatori Java di eseguire test fuzz direttamente dall'IDE.
Test fuzz – o fuzzing – si riferisce a quando il tester lancia molti dati ("fuzz") contro un'applicazione per vedere come reagisce l'applicazione. Poiché i dati di input includono input casuali e non validi, gli sviluppatori possono scoprire problemi che potrebbero causare danneggiamenti della memoria, arresti anomali delle applicazioni e problemi di sicurezza come negazione del servizio ed eccezioni non rilevate.
Le ultime linee guida per la verifica del software del National Institute of Standards and Technology includono il fuzzing tra i requisiti standard minimi. Google ha recentemente segnalato che più di 40,500 bug in 650 progetti open source sono stati scoperti attraverso test fuzz. L'azienda è stata lanciata OSS-Fuzz nel 2016 in risposta alla Vulnerabilità Heartbleed, un difetto di overflow del buffer di memoria che avrebbe potuto essere rilevato mediante test fuzz.
Mentre il test fuzz lo è lentamente guadagnando trazione all'interno della comunità open source, non è ancora ampiamente utilizzato dagli sviluppatori al di fuori dell'open source e della sicurezza delle informazioni, afferma Code Intelligence. In parte ciò è dovuto al fatto che il fuzzing è un’abilità specializzata e molti team di sicurezza non hanno la conoscenza e l’esperienza per utilizzare gli strumenti di test fuzz in modo efficace. Code Intelligence afferma che CI Fuzz CLI abbassa la barriera all'ingresso per il fuzzing perché lo strumento ha solo tre comandi. Consentendo agli sviluppatori di eseguire lo strumento dalla riga di comando o all'interno dell'IDE, il fuzzing diventa più accessibile, afferma l'azienda.
Il fatto che lo strumento si integri nel flusso di lavoro dello sviluppatore significa che può automaticamente confondere il codice ogni volta che c'è una nuova richiesta di pull o merge, afferma l'azienda.
“Code Intelligence aiuta gli sviluppatori a fornire software sicuro fornendo le integrazioni necessarie per testare il proprio codice a ogni richiesta pull, senza dover mai lasciare il proprio ambiente preferito. È come avere un esperto di sicurezza automatizzata sempre al tuo fianco”, ha affermato Thomas Dohmke, CEO di GitHub.
- Coinsmart. Il miglior scambio di bitcoin e criptovalute d'Europa.Clicca qui
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/dr-tech/ci-fuzz-cli-brings-fuzz-testing-to-java-applications
