اوپن سورس سیکیورٹی ٹول CI Fuzz CLI اب جاوا کو سپورٹ کرتا ہے۔، کوڈ انٹیلی جنس کے مطابق، اس منصوبے کے پیچھے کمپنی۔
ستمبر میں واپس، کوڈ انٹیلی جنس نے اعلان کیا۔ سی آئی فز سی ایل آئی، جو ڈویلپرز کو کمانڈ لائن سے براہ راست کوریج گائیڈڈ فز ٹیسٹ چلانے دیتا ہے تاکہ فنکشنل بگز اور سیکیورٹی کی کمزوریوں کو پیمانے پر تلاش کیا جا سکے۔ CI Fuzz CLI کو عام تعمیراتی نظاموں میں ضم کیا جا سکتا ہے جیسے Maven اور Bazel؛ مربوط ترقیاتی ماحول (IDEs)، اور مسلسل انضمام/مسلسل ترسیل (CI/CD) ٹولز جیسے جینکنز۔ ابتدائی طور پر، ٹول نے C، C++، اور CMake کو سپورٹ کیا۔ تازہ ترین اپ ڈیٹ، جس میں جنیٹ انٹیگریشن شامل ہے، جاوا ڈویلپرز کو IDE سے براہ راست فز ٹیسٹ چلانے کی اجازت دیتا ہے۔
فز ٹیسٹنگ – یا مبہم – سے مراد ٹیسٹر کب ہے۔ ایپلیکیشن کے خلاف بہت سا ڈیٹا ("fuzz") پھینکتا ہے۔ یہ دیکھنے کے لیے کہ درخواست کیسا رد عمل ظاہر کرتا ہے۔ چونکہ ان پٹ ڈیٹا میں بے ترتیب اور غلط ان پٹس شامل ہوتے ہیں، اس لیے ڈویلپر ایسے مسائل کو بے نقاب کر سکتے ہیں جن کے نتیجے میں میموری میں خرابی، ایپلیکیشن کریشز، اور سیکیورٹی کے مسائل جیسے کہ سروس سے انکار اور غیر پکڑے جانے والے استثناء کا سبب بن سکتا ہے۔
نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹکنالوجی سے سافٹ ویئر کی تصدیق کے لیے تازہ ترین رہنما خطوط میں کم از کم معیاری تقاضوں کے درمیان مبہم ہونا شامل ہے۔ گوگل نے حال ہی میں اطلاع دی ہے کہ 40,500 اوپن سورس پروجیکٹس میں 650 سے زیادہ کیڑے فز ٹیسٹنگ کے ذریعے بے نقاب ہوئے ہیں۔ کمپنی نے لانچ کیا۔ OSS-فز کے جواب میں 2016 میں دلی زدہ خطرہ، ایک میموری بفر اوور فلو خامی جس کا پتہ فز ٹیسٹنگ سے لگایا جا سکتا تھا۔
جبکہ فز ٹیسٹنگ ہے۔ آہستہ آہستہ کرشن حاصل کر رہا ہے کوڈ انٹیلی جنس کا کہنا ہے کہ اوپن سورس کمیونٹی کے اندر، اوپن سورس اور انفارمیشن سیکیورٹی سے باہر ڈویلپرز کے ذریعہ اسے ابھی تک وسیع پیمانے پر استعمال نہیں کیا گیا ہے۔ اس کا ایک حصہ یہ ہے کہ فزنگ ایک خاص مہارت ہے اور بہت سی سیکیورٹی ٹیموں کے پاس فز ٹیسٹنگ ٹولز کو مؤثر طریقے سے استعمال کرنے کا علم اور تجربہ نہیں ہے۔ کوڈ انٹیلی جنس کا کہنا ہے کہ CI Fuzz CLI fuzzing کے لیے داخلے کی رکاوٹ کو کم کرتا ہے کیونکہ ٹول میں صرف تین کمانڈز ہیں۔ کمپنی کا کہنا ہے کہ ڈویلپرز کو کمانڈ لائن سے یا IDE کے اندر ٹول چلانے کی اجازت دینے سے دھندلا پن زیادہ قابل رسائی ہو جاتا ہے۔
کمپنی کا کہنا ہے کہ حقیقت یہ ہے کہ ٹول ڈویلپر ورک فلو میں ضم ہوجاتا ہے اس کا مطلب ہے کہ جب بھی کوئی نئی پل یا انضمام کی درخواست ہوتی ہے تو یہ خود بخود کوڈ کو دھندلا سکتا ہے۔
"کوڈ انٹیلی جنس ڈویلپرز کو ہر پل کی درخواست پر اپنے کوڈ کی جانچ کرنے کے لیے ضروری انضمام فراہم کر کے محفوظ سافٹ ویئر بھیجنے میں مدد کرتی ہے، بغیر اپنے پسندیدہ ماحول کو چھوڑے بغیر۔ یہ ایسا ہی ہے جیسے ایک خودکار سیکیورٹی ماہر ہمیشہ آپ کے ساتھ ہو،" گٹ ہب کے سی ای او تھامس ڈوہمکے نے ایک بیان میں کہا۔
- سکے سمارٹ۔ یورپ کا بہترین بٹ کوائن اور کرپٹو ایکسچینج۔یہاں کلک کریں
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/dr-tech/ci-fuzz-cli-brings-fuzz-testing-to-java-applications
