Microsoft анонсировала Project OneFuzz framework, инструмент разработчика с открытым исходным кодом для поиска и исправления ошибок в масштабе. Автоматизированное средство с открытым исходным кодом заменит средство безопасности и обнаружения рисков Microsoft.
Project OneFuzz-это расширяемая платформа тестирования fuzz для Azure, которая будет доступна через GitHub в качестве инструмента с открытым исходным кодом. Разработчики Microsoft в командах Edge и Windows уже используют эту платформу.
Несмотря на то, что тестирование fuzz является эффективным методом поиска и устранения уязвимостей безопасности, его использование и извлечение информации может быть сложным. Это означало, что тестирование fuzz рассматривалось как требующее создания и работы специальных инженерных групп безопасности. Цель состоит в том, чтобы позволить разработчикам выполнять тестирование fuzz, таким образом перенося обнаружение уязвимостей на более ранние этапы жизненного цикла разработки.
Microsoft говорит, что недавние достижения в мире компиляторов, открытые в LLVM и впервые разработанные Google, изменили задачи разработки безопасности, связанные с тестированием собственного кода fuzz.
Экспериментальная поддержка методов тестирования fuzz добавляется в Visual Studio, и Microsoft говорит, что, как только тестовые двоичные файлы могут быть созданы компилятором, сегодняшним разработчикам остается задача их сборки в конвейер CI/CD и масштабирования рабочих нагрузок fuzz в облаке.
Проект OneFuzz поддерживает создание составных рабочих процессов фаззинга, которые могут включать другие фаззеры и различные инструменты. Он поставляется со встроенным ансамблевым фуззингом, где интересующие входы могут быть обменены между технологиями фуззинга.
OneFuzz также предоставляет случаи ошибок, которые всегда воспроизводят ошибки, чтобы помочь в тестировании, а также отладку найденных сбоев по требованию в режиме реального времени. Это означает, что разработчики могут вызвать сеанс отладки в реальном времени по требованию или из своей системы сборки. Программное обеспечение может использоваться в Windows и Linux, работающих на вашей собственной сборке ОС, ядре или вложенном гипервизоре.