Llegamos a ustedes gracias a:



Noticias

Microsoft abre su marco de pruebas fuzzing

[19/09/2020] Microsoft busca ayudar a los desarrolladores a probar continuamente el código antes de su publicación, a través del marco de trabajo de código abierto OneFuzz.

Descrita como una plataforma de "fuzzing-as-a-service" autoalojada, OneFuzz permite que el fuzzing impulsado por el desarrollador identifique las vulnerabilidades del software durante el proceso de desarrollo. Está previsto que el código fuente de OneFuzz ya esté en GitHub.

Las pruebas de fuzz consisten en aumentar la seguridad y la fiabilidad del código nativo encontrando fallas de seguridad costosas y explotables. Las pruebas de falsificación consisten en lanzar entradas aleatorias al software para encontrar casos en los que acciones imprevistas podrían hacer que el software fallara.

Sin embargo, Microsoft señaló que las pruebas de falsificación han sido un arma de doble filo para los desarrolladores, ya que se basan en el ciclo de vida del desarrollo del software y son eficaces para encontrar fallas procesables, pero son difíciles y costosas de implementar, por lo que se requieren equipos de ingeniería de seguridad dedicados para crear capacidades de pruebas de falsificación y aprovechar los resultados.

Permitir a los desarrolladores realizar pruebas de detección de errores cambia el descubrimiento de vulnerabilidades a una etapa más temprana del ciclo de vida del desarrollo, y libera a los equipos de ingeniería de seguridad para que realicen un trabajo más proactivo. El lanzamiento global de OpenFuzz tiene como objetivo ayudar a los desarrolladores a endurecer el software que impulsa el trabajo diario y la vida personal de los usuarios, haciendo así más difícil el trabajo de un atacante.

Ejecutando un solo comando que puede ser utilizado en un sistema de CI/CD, los desarrolladores que utilizan OneFuzz pueden lanzar trabajos de fuzz que van desde unas pocas máquinas virtuales hasta miles de núcleos. OneFuzz, que es extensible, sirve como reemplazo del mecanismo de prueba Microsoft Security Risk Detection. OneFuzz ha sido utilizado para desarrollar el navegador Microsoft Edge y Windows.

Características y beneficios de OneFuzz:

  • Flujos de trabajo de fuzz componibles.
  • Fuzzing de conjunto incorporado, con equipos de fuzzers compartiendo fuerzas e intercambiando aportaciones de interés entre las tecnologías de fuzzing.
  • Depuración de accidentes en vivo y en directo bajo demanda.
  • Triaje programático y deduplicación de resultados.
  • Llamadas de notificación de accidentes.
  • Funciona con Windows y Linux.

Microsoft citó los avances del compilador de Google como una transformación de las tareas de ingeniería de seguridad involucradas en el código nativo de las pruebas de fuzz. Lo que una vez se implementó a un costo considerable, ahora puede ser utilizado en sistemas de construcción continua, dijo la compañía.