Açık kaynak güvenlik aracı CI Fuzz CLI artık Java'yı destekliyor, projenin arkasındaki şirket olan Code Intelligence'a göre.
Eylül ayında, Code Intelligence duyuruldu CI Fuzz CLI'sı, bu da geliştiricilerin işlevsel hataları ve güvenlik açıklarını geniş ölçekte bulup düzeltmeleri için doğrudan komut satırından kapsam kılavuzluğunda bulanıklık testleri yapmasına olanak tanır. CI Fuzz CLI, Maven ve Bazel gibi ortak derleme sistemlerine entegre edilebilir; tümleşik geliştirme ortamları (IDE'ler) ve Jenkins gibi sürekli tümleştirme/sürekli teslimat (CI/CD) araçları. Başlangıçta, araç C, C++ ve CMake'i destekledi. Junit entegrasyonunu içeren en son güncelleme, Java geliştiricilerinin doğrudan IDE'den bulanıklık testleri yapmasına olanak tanır.
tüy testi – veya tüylenme – test cihazının ne zaman bir uygulamaya karşı çok fazla veri (“fuzz”) atar uygulamanın nasıl tepki verdiğini görmek için. Girdi verileri rastgele ve geçersiz girdiler içerdiğinden, geliştiriciler bellek bozulmalarına, uygulama çökmelerine ve hizmet reddi ve yakalanmamış istisnalar gibi güvenlik sorunlarına neden olabilecek sorunları ortaya çıkarabilir.
Ulusal Standartlar ve Teknoloji Enstitüsü'nün yazılım doğrulaması için en son yönergeleri, minimum standart gereksinimler arasında bulanıklaştırmayı içerir. Google kısa bir süre önce 40,500 açık kaynak projesindeki 650'den fazla hatanın fuzz testiyle ortaya çıkarıldığını bildirdi. şirket başlattı ÖSS-Fuzz cevaben 2016 yılında Heartbleed güvenlik açığı, fuzz testi ile tespit edilebilecek bir bellek arabellek taşması kusuru.
Fuzz testi yapılırken yavaş yavaş çekiş kazanıyor Code Intelligence, açık kaynak topluluğu içinde, açık kaynak ve bilgi güvenliği dışındaki geliştiriciler tarafından henüz yaygın olarak kullanılmadığını söylüyor. Bunun bir nedeni, bulanıklaştırmanın özel bir beceri olması ve birçok güvenlik ekibinin bulanıklık testi araçlarını etkili bir şekilde kullanmak için bilgi ve deneyime sahip olmamasıdır. Code Intelligence, CI Fuzz CLI'nin, aracın yalnızca üç komutu olduğundan, bulanıklaştırma için giriş engelini azalttığını söylüyor. Şirket, geliştiricilerin aracı komut satırından veya IDE içinden çalıştırmasına izin vererek, fuzzing'i daha erişilebilir hale getirdiğini söylüyor.
Şirket, aracın geliştirici iş akışına entegre olmasının, yeni bir çekme veya birleştirme isteği olduğunda kodu otomatik olarak bulanıklaştırabileceği anlamına geldiğini söylüyor.
“Code Intelligence, geliştiricilerin, en sevdikleri ortamdan ayrılmak zorunda kalmadan her çekme isteğinde kodlarını test etmek için gerekli entegrasyonları sağlayarak güvenli yazılımlar göndermelerine yardımcı oluyor. GitHub CEO'su Thomas Dohmke yaptığı açıklamada, her zaman yanınızda otomatik bir güvenlik uzmanına sahip olmak gibi bir şey olduğunu söyledi.
- Akıllı para. Avrupa'nın En İyi Bitcoin ve Kripto Borsası.Buraya Tıkla
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://www.darkreading.com/dr-tech/ci-fuzz-cli-brings-fuzz-testing-to-java-applications
