点击蓝字关注我们

近日,微软开源了OneFuzz——一个微软内部使用的,由开发人员驱动的持续开发模糊测试平台。开源后,世界各地的开发人员都可以通过OneFuzz直接从其开发系统接收模糊测试结果。

模糊测试是一种自动化的软件测试技术,将随机、意外、畸形和/或无效数据输入计算机程序,试图发现可能影响程序安全性和性能的异常(例如崩溃、内存泄漏等)和意外行为。

Azure驱动的持续开发模糊测试

OneFuzz项目是Azure的可扩展、自托管的Fuzzing即服务平台,该平台聚集了多个现有的Fuzzer,并可(通过自动化)整合崩溃检测、覆盖范围跟踪和输入控制等功能。

Microsoft内部团队使用OneFuzz来加强Windows、Microsoft Edge和其他软件产品的安全性开发。

“传统上,模糊测试对于开发人员来说是一把双刃剑:在软件开发生命周期中发现可行的缺陷方面非常有效,但从中获取、执行和提取信息却非常复杂。”微软首席安全软件工程贾斯汀•坎贝尔(Justin Campbell)和特殊项目管理高级总监迈克•沃克( Mike Walker)指出。

“这种复杂性要求专门的安全工程团队来开发和运行模糊测试功能,这非常有用但成本很高。使开发人员能够执行模糊测试,可以将漏洞发现转移到开发生命周期的早期,同时释放安全工程团队的精力,从事更加重要的工作。”

OneFuzz的功能

OneFuzz将允许开发人员执行模糊测试任务(规模从几台虚拟机到数千个内核不一),只需将一条命令输入开发系统即可。

该工具的功能包括:

·可编排的模糊测试工作流程:开放源代码意味着用户将可以使用自己的模糊测试工具,替换工具和管理种子输入;

·内置的集成模糊测试:默认情况下,支持多个模糊测试器协同工作,在不同模糊测试技术之间交换分享输入信息;

·程序化分类和结果去重;

·按需实时调试发现的崩溃:用户可以按需或从其开发系统中实时调试会话;

·透明化设计允许溯源到任意阶段;

·信息丰富的遥测:轻松监视所有模糊测试;

·原生设计支持多平台:可以使用用户自己的OS开发,内核或嵌套的管理程序在Windows和varios Linux OS系统上执行模糊测试;

·崩溃报告通知回调:当前支持Azure DevOps工作项和Microsoft Teams消息;

·代码覆盖率KPI:用户可以使用代码覆盖率作为关键指标来监视进度并激发测试。

OneFuzz将在未来几天通过GitHub(https://github.com/microsoft/onefuzz)提供给全球。微软表示将继续通过公司各个团队的贡献来更新和扩展它,并欢迎来自更大范围的开源社区的贡献和建议。

相关阅读

未知的未知:九大模糊测试工具

可模糊源端口数据的新型DDoS攻击方法

微软首次公开Windows漏洞的分类和处理方式

合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com

stretchblt 模糊_微软开源持续开发模糊测试工具OneFuzz相关推荐

  1. 华为正式发布方舟编译器,相关源码已开放下载;微软开源量子开发工具包 QDK;GitHub回应突然断供:也很无可奈何的样子……...

    关注并标星星CSDN云计算 极客头条:速递.最新.绝对有料.这里有企业新动.这里有业界要闻,打起十二分精神,紧跟fashion你可以的! 每周三次,打卡即read 更快.更全了解泛云圈精彩news g ...

  2. 十大开源Web应用安全测试工具

    点击蓝字关注我们 Web应用安全测试可对Web应用程序执行功能测试,找到尽可能多的安全问题,大大降低黑客入侵几率. 在研究并推荐一些最佳的开源Web应用安全测试工具之前,让我们首先了解一下安全测试的定 ...

  3. Android测试solo,SoloPi支付宝开源的 Android 专项测试工具的介绍与快速上手

    SoloPi支付宝开源的 Android 专项测试工具的介绍与快速上手 SoloPi:支付宝开源的 Android 专项测试工具的介绍与快速上手 MTSC2019大会上,Soloπ算是一次正式的在公众 ...

  4. 《 自动化测试最佳实践:来自全球的经典自动化测试案例解析》一一2.4 开发内部测试工具...

    2.4 开发内部测试工具 该内部测试工具的基本功能是由3 ~ 4位开发人员在6 ~ 9个月的时间内开发出来的,是用Java语言编写的.第一个版本开发之后,一个人专门负责对其进行维护和进一步的开发,显然 ...

  5. matlab和canoe,总线网络开发和测试工具CANoe

    本网站Vector相关产品介绍图片内容,均来源于Vector. Source:Vector CANoe – 专业的系统级总线网络开发和测试工具 CANoe是进行网络/总线和ECU开发.测试和分析的全面 ...

  6. java我的世界代码_微软开源部分《Minecraft》Java 代码

    原标题:微软开源部分<Minecraft>Java 代码 2018年,引述Solidot的消息,在收购<Minecraft(我的世界)>开发商 Mojang 四年之后,微软开源 ...

  7. birt报表表格边框_选开源报表开发还是商用?2020报表软件产品整理

    开源报表却越来越受到程序员热烈追捧,如ireport. Jsper report.jfreechart这样的免费,开源的JAVA报表工具,在一下开源的JAVA报表相关的论坛里面都是热火朝天,发问者众多 ...

  8. android 测试工具,Android开源项目第四篇:开发及测试工具篇

    本文为那些不错的Android开源项目第四篇--开发工具篇,**主要介绍Android开发工具和测试工具相关的开源项目**. Android开源项目系列汇总已完成,包括: 1.Buck faceboo ...

  9. 生产环境和开发环境_环境部署:开发、测试和线上环境的区别

    点击蓝字 关注我们 软件开发环境(Software Development Environment,SDE)是指在基本硬件和宿主软件的基础上,为支持系统软件和应用软件的工程化开发和维护而使用的一组软件 ...

最新文章

  1. 干货|NLP 的四张技术路线图,带你系统设计学习路径
  2. Xamarin iOS开发中的编辑、连接、运行
  3. STM32 进阶教程 13 – FLASH的读写操作
  4. MySQL之命令mysql -- MySQL服务器的客户端工具
  5. 来吧,1分钟带你玩转Kafka
  6. 请求之前~HttpHandler实现媒体文件和图像文件的盗链
  7. debian、ubuntu安装metasploit通用方法
  8. php开发v2ex,继续求 PHP 开发工作
  9. PXE网络装机和kickstart无人值守
  10. Esp8266(4)
  11. 单片机原理及应用实验报告
  12. Dev-Cpp 切换界面语言中文
  13. 基于Python的网络爬虫与数据可视化分析
  14. 投毒后门防御阅读笔记,What Doesn‘t Kill You Makes You Robust (er) Adversarial Training against Poisons and Back
  15. 台湾中华大学-田庆诚教授-射频放大器-观看笔记 1
  16. UltraEdit 文本代码程序编辑器免费版下载安装教程
  17. html鼠标滚轮监听,js鼠标滑轮滚动监听触发事件
  18. 复制网页上不能复制的文章的方法
  19. Unity3D的Json篇:LitJson.dll插件
  20. 解决报错:Cause: java.sql.SQLSyntaxErrorException: Table 'myactiviti.act_ge_property' doesn't exist

热门文章

  1. I2c驱动i2c_master_send()和i2c_master_recv()用法
  2. fprintf fscanf等函数的用法
  3. GeoWebCache之单独部署arcgis瓦片
  4. 各种接口的硬盘在linux中的文件名
  5. 阿里云商标注册服务及常见问题
  6. python中使用什么来实现异常捕捉_python 异常捕捉
  7. 22端口限制 git_正在搭 git 服务, iptables 允许 22 端口,然而策略并没有生效
  8. 小程序二维码需要发布正式版后才能获取到_IOS14.3正式版发布时间12月15日:苹果ios14.3正式版内容一览[多图]-游戏产业...
  9. 10a 16a 插座区别_10A和16A的插座能混用吗?
  10. pg 定时删除_定时删除网站文件