本文轉自【cnBeta.COM】;
在為 Visual Studio Code 升級 C++ 擴充套件至 1.0 版本之外,今天微軟還宣佈了一款新的開源工具--Project OneFuzz。作為已經退休的 Security Risk Detection Service 繼任者,該工具是面向 Azure 的開源自託管開發者模糊測試平臺。
模糊測試本質上是透過嚴格的測試過程來消除可利用的安全漏洞,包括用大量隨機資料淹沒相關程式。雖然相當有用,但執行起來往往也很複雜。Project OneFuzz 試圖利用開源的 LLVM 編譯器,從而讓模糊測試變得更容易、更可持續。
由於上述進展,以前必須附加到持續構建系統中的相關機制現在可以直接嵌入到系統中。例如,碰撞檢測可以透過asan工具內建,而覆蓋率跟蹤可以使用SanitizerCoverage(sancov)工具內建。展望未來,這些變化使得單元測試二進位制檔案的開發能夠在一個可執行檔案中內建各種模糊技術。
該測試框架已經被用於其他微軟服務和平臺,包括Microsoft Edge和Windows。現在,隨著Project OneFuzz的可用性擴充套件到全世界的開發者,可以在GitHub上訪問這裡。