在为 Visual Studio Code 升级 C++ 扩展至 1.0 版本之外,今天微软还宣布了一款新的开源工具--Project
OneFuzz。作为已经退休的 Security Risk Detection Service 继任者,该工具是面向 Azure
的开源自托管开发者模糊测试平台。
模糊测试本质上是通过严格的测试过程来消除可利用的安全漏洞,包括用大量随机数据淹没相关程序。虽然相当有用,但执行起来往往也很复杂。Project
OneFuzz 试图利用开源的 LLVM 编译器,从而让模糊测试变得更容易、更可持续。
由于上述进展,以前必须附加到持续构建系统中的相关机制现在可以直接嵌入到系统中。例如,碰撞检测可以通过 asan 工具内置,而覆盖率跟踪可以使用
SanitizerCoverage(sancov)工具内置。展望未来,这些变化使得单元测试二进制文件的开发能够在一个可执行文件中内置各种模糊技术。
该测试框架已经被用于其他微软服务和平台,包括 Microsoft Edge 和 Windows。现在,随着 Project OneFuzz
的可用性扩展到全世界的开发者,可以在 GitHub 上访问这里。