يجلب CI Fuzz CLI اختبار Fuzz إلى تطبيقات Java

أداة الأمن مفتوحة المصدر يدعم CI Fuzz CLI الآن Javaوفقًا لشركة Code Intelligence ، الشركة التي تقف وراء المشروع.

مرة أخرى في سبتمبر ، أعلنت Code Intelligence سي آي زغب كلي، والذي يتيح للمطورين تشغيل اختبارات الزغب الموجهة بالتغطية مباشرةً من سطر الأوامر للعثور على الأخطاء الوظيفية والثغرات الأمنية وإصلاحها على نطاق واسع. يمكن دمج CI Fuzz CLI في أنظمة البناء الشائعة مثل Maven و Bazel ؛ بيئات التطوير المتكاملة (IDEs) ، وأدوات التكامل المستمر / التسليم المستمر (CI / CD) مثل Jenkins. في البداية ، دعمت الأداة C و C ++ و CMake. يسمح التحديث الأخير ، الذي يتضمن تكامل Junit ، لمطوري Java بتشغيل اختبارات الزغب مباشرة من IDE.

اختبار الزغب - أو التشويش - يشير إلى وقت الاختبار يلقي الكثير من البيانات ("الزغب") ضد أحد التطبيقات لنرى كيف يتفاعل التطبيق. نظرًا لأن بيانات الإدخال تتضمن مدخلات عشوائية وغير صالحة ، يمكن للمطورين الكشف عن المشكلات التي قد تؤدي إلى تلف الذاكرة وتعطل التطبيقات ومشكلات الأمان مثل رفض الخدمة والاستثناءات غير المعلنة.

تتضمن أحدث إرشادات للتحقق من البرنامج من المعهد الوطني للمعايير والتكنولوجيا التشويش بين الحد الأدنى من المتطلبات القياسية. أبلغت Google مؤخرًا عن اكتشاف أكثر من 40,500 خطأ في 650 مشروعًا مفتوح المصدر من خلال اختبار الزغب. أطلقت الشركة OSS الزغب في عام 2016 ردا على ثغرة هشة، عيب تجاوز سعة المخزن المؤقت للذاكرة يمكن اكتشافه عن طريق اختبار الزغب.

بينما اختبار الزغب هو تكتسب الجر ببطء داخل مجتمع المصدر المفتوح ، لم يتم استخدامه على نطاق واسع من قبل المطورين خارج المصدر المفتوح وأمن المعلومات ، كما تقول Code Intelligence. جزء من ذلك هو أن التشويش هو مهارة متخصصة والعديد من فرق الأمن لا تملك المعرفة والخبرة لاستخدام أدوات اختبار الزغب بشكل فعال. تقول Code Intelligence أن CI Fuzz CLI يقلل من حاجز الدخول للتشويش لأن الأداة بها ثلاثة أوامر فقط. تقول الشركة إن السماح للمطورين بتشغيل الأداة من سطر الأوامر أو داخل IDE يجعل الوصول إلى الغموض أكثر سهولة.

تقول الشركة إن حقيقة أن الأداة تتكامل مع سير عمل المطور تعني أنه يمكنها تلقائيًا تشويش الكود كلما كان هناك طلب سحب أو دمج جديد.

تساعد Code Intelligence المطورين على شحن البرامج الآمنة من خلال توفير عمليات الدمج اللازمة لاختبار الكود الخاص بهم عند كل طلب سحب ، دون الاضطرار أبدًا إلى مغادرة بيئتهم المفضلة. قال Thomas Dohmke ، الرئيس التنفيذي لشركة GitHub ، في بيان إن الأمر يشبه وجود خبير أمان آلي دائمًا بجانبك.