כלי האבטחה בקוד פתוח CI Fuzz CLI תומך כעת ב-Javaלפי Code Intelligence, החברה מאחורי הפרויקט.
עוד בספטמבר, הודיעה Code Intelligence CI Fuzz CLI, המאפשר למפתחים להריץ מבחני fuzz מונחי כיסוי ישירות משורת הפקודה כדי למצוא ולתקן באגים פונקציונליים ופגיעות אבטחה בקנה מידה. ניתן לשלב את CI Fuzz CLI במערכות בנייה נפוצות כגון Maven ו-Bazel; סביבות פיתוח משולבות (IDEs), וכלי אינטגרציה מתמשכת/מסירה רציפה (CI/CD) כגון Jenkins. בתחילה, הכלי תמך ב-C, C++ ו- CMake. העדכון האחרון, הכולל את שילוב Junit, מאפשר למפתחי Java להריץ מבחני fuzz ישירות מה-IDE.
בדיקת זיוף - או מטושטש - מתייחס למועד שבו הבוחן זורק הרבה נתונים ("fuzz") נגד אפליקציה כדי לראות כיצד האפליקציה מגיבה. מכיוון שנתוני הקלט כוללים כניסות אקראיות ולא חוקיות, מפתחים יכולים לחשוף בעיות שעלולות לגרום לשחיתות זיכרון, קריסות יישומים ובעיות אבטחה כגון מניעת שירות וחריגים שלא נתפסו.
ההנחיות העדכניות ביותר לאימות תוכנה מהמכון הלאומי לתקנים וטכנולוגיה כוללות שילוב בין דרישות התקן המינימליות. גוגל דיווחה לאחרונה על יותר מ-40,500 באגים ב-650 פרויקטים של קוד פתוח שנחשפו באמצעות בדיקות fuzz. החברה השיקה OSS-Fuzz בשנת 2016 בתגובה ל פגיעות לבבית, פגם בהצפת מאגר זיכרון שיכול היה להתגלות על ידי בדיקת fuzz.
בעוד בדיקות מטושטש כן לאט לאט צובר אחיזה בתוך קהילת הקוד הפתוח, זה עדיין לא נמצא בשימוש נרחב על ידי מפתחים מחוץ לקוד פתוח ואבטחת מידע, אומר Code Intelligence. חלק מזה נובע מכך ש-fuzzing היא מיומנות מיוחדת ולצוותי אבטחה רבים אין את הידע והניסיון להשתמש בכלי בדיקת fuzz ביעילות. Code Intelligence אומר ש-CI Fuzz CLI מוריד את מחסום הכניסה ל-fuzzing מכיוון שלכלי יש רק שלוש פקודות. על ידי מתן אפשרות למפתחים להפעיל את הכלי משורת הפקודה או בתוך ה-IDE הופכת את ה-fuzzing לנגיש יותר, אומרת החברה.
העובדה שהכלי משתלב בזרימת העבודה של המפתחים פירושה שהוא יכול לטשטש את הקוד באופן אוטומטי בכל פעם שיש בקשת משיכה או מיזוג חדשה, אומרת החברה.
"Code Intelligence מסייעת למפתחים לשלוח תוכנה מאובטחת על ידי מתן האינטגרציות הנדרשות לבדיקת הקוד שלהם בכל בקשת משיכה, מבלי לעזוב את הסביבה המועדפת עליהם. זה כמו שיש לך מומחה אבטחה אוטומטי תמיד לצידך", אמר תומס דומקה, מנכ"ל GitHub, בהצהרה.
