Açık kaynak güvenlik aracı CI Fuzz CLI artık Java’yı destekliyorprojenin arkasındaki şirket olan Code Intelligence’a göre.
Eylül ayında, Code Intelligence duyuruldu CI Fuzz CLI’si, bu da geliştiricilerin işlevsel hataları ve güvenlik açıklarını geniş ölçekte bulup düzeltmeleri için doğrudan komut satırından kapsam kılavuzluğunda bulanıklık testleri yapmasına olanak tanır. CI Fuzz CLI, Maven ve Bazel gibi ortak derleme sistemlerine entegre edilebilir; tümleşik geliştirme ortamları (IDE’ler) ve Jenkins gibi sürekli tümleştirme/sürekli teslimat (CI/CD) araçları. Başlangıçta, araç C, C++ ve CMake’i destekledi. Junit entegrasyonunu içeren en son güncelleme, Java geliştiricilerinin doğrudan IDE’den bulanıklık testleri yapmasına olanak tanır.
Fuzz testi – veya fuzzing – test cihazının ne zaman bir uygulamaya çok fazla veri (“fuzz”) atar uygulamanın nasıl tepki verdiğini görmek için. Girdi verileri rastgele ve geçersiz girdiler içerdiğinden, geliştiriciler bellek bozulmalarına, uygulama çökmelerine ve hizmet reddi ve yakalanmamış istisnalar gibi güvenlik sorunlarına neden olabilecek sorunları ortaya çıkarabilir.
Ulusal Standartlar ve Teknoloji Enstitüsü’nün yazılım doğrulaması için en son yönergeleri, minimum standart gereksinimleri arasında bulanıklaştırmayı içerir. Google kısa bir süre önce 650 açık kaynak projesindeki 40.500’den fazla hatanın fuzz testiyle ortaya çıkarıldığını bildirdi. şirket başlattı OSS-Tüysüz cevaben 2016 yılında Heartbleed güvenlik açığıfuzz testi ile tespit edilebilecek bir bellek arabellek taşması kusuru.
Code Intelligence, fuzz testinin açık kaynak topluluğu içinde yavaş yavaş ilgi görmesine rağmen, açık kaynak ve bilgi güvenliği dışındaki geliştiriciler tarafından henüz yaygın olarak kullanılmadığını söylüyor. Bunun bir nedeni, bulanıklaştırmanın özel bir beceri olması ve birçok güvenlik ekibinin bulanıklık testi araçlarını etkili bir şekilde kullanmak için bilgi ve deneyime sahip olmamasıdır. Code Intelligence, CI Fuzz CLI’nin, aracın yalnızca üç komutu olduğundan, bulanıklaştırma için giriş engelini azalttığını söylüyor. Şirket, geliştiricilerin aracı komut satırından veya IDE içinden çalıştırmasına izin vererek, fuzzing’i daha erişilebilir hale getirdiğini söylüyor.
Şirket, aracın geliştirici iş akışına entegre olmasının, yeni bir çekme veya birleştirme isteği olduğunda kodu otomatik olarak bulanıklaştırabileceği anlamına geldiğini söylüyor.
“Code Intelligence, geliştiricilerin favori ortamlarını terk etmek zorunda kalmadan her çekme isteğinde kodlarını test etmek için gerekli entegrasyonları sağlayarak güvenli yazılım göndermelerine yardımcı oluyor. GitHub CEO’su Thomas Dohmke yaptığı açıklamada, her zaman yanınızda otomatik bir güvenlik uzmanına sahip olmak gibi bir şey olduğunu söyledi.
