CI Fuzz CLI bringt Fuzz-Tests in Java-Anwendungen

Laut Source Intelligence, dem Unternehmen hinterm Projekt, unterstützt dasjenige Open-Source-Sicherheitstool CI Fuzz CLI jetzt Java.

Schon im September kündigte Source Intelligence CI Fuzz CLI an, mit dem Entwickler abdeckungsgeführte Fuzz-Tests einfach von dieser Befehlszeile aus rüberbringen können, um funktionale Fehler und Sicherheitslücken in großem Umfang zu finden und zu beheben. CI Fuzz CLI kann in gängige Build-Systeme wie Maven und Bazel integriert werden; integrierte Entwicklungsumgebungen (IDEs) und Continuous Integration/Continuous Delivery (CI/CD)-Tools wie Jenkins. Initial unterstützte dasjenige Tool C, C++ und CMake. Dasjenige neueste Update, dasjenige die Junit-Integration enthält, ermöglicht es Java-Entwicklern, Fuzz-Tests einfach aus dieser IDE auszuführen.

Fuzz-Testing – oder Fuzzing – bezieht sich darauf, dass dieser Tester sehr viel Datenmaterial („Fuzz“) gegen eine Einsatz wirft, um zu sehen, wie die Einsatz reagiert. Da die Eingabedaten zufällige und ungültige Eingaben enthalten, können Entwickler Probleme auspacken, die zu Speicherbeschädigungen, Anwendungsabstürzen und Sicherheitsproblemen wie Denial-of-Tafelgeschirr und nicht erfassten Ausnahmen zur Folge haben können.

Die neuesten Richtlinien z. Hd. die Softwareverifizierung des Patriotisch Institute of Standards and Technology einplanen Fuzzing qua eine dieser Mindeststandardanforderungen. Google hat kürzlich gemeldet, dass mehr qua 40.500 Fehler in 650 Open-Source-Projekten durch Fuzz-Tests aufgedeckt wurden. Dasjenige Unternehmen startete OSS-Fuzz im Jahr 2016 qua Auskunft gen die Heartbleed-Schwachstelleein Speicherpufferüberlauffehler, dieser durch Fuzz-Tests hätte erkannt werden können.

Während Fuzz-Tests in dieser Open-Source-Gemeinschaft langsam an Wichtigkeit profitieren, werden sie von Entwicklern extrinsisch von Open Source und Informationssicherheit noch nicht weit verbreitet, sagt Source Intelligence. Dasjenige liegt zum Teil daran, dass Fuzzing eine spezialisierte Fähigkeit ist und viele Sicherheitsteams nicht droben dasjenige Wissen und die Erlebnis verfügen, um Fuzz-Testtools effektiv einzusetzen. Source Intelligence sagt, dass CI Fuzz CLI die Eintrittsbarriere z. Hd. Fuzzing senkt, da dasjenige Tool nur drei Befehle hat. Während es Entwicklern ermöglicht wird, dasjenige Tool droben die Befehlszeile oder intrinsisch dieser IDE auszuführen, wird Fuzzing leichter zugänglich, so dasjenige Unternehmen.

Die Tatsache, dass sich dasjenige Tool in den Entwickler-Workflow integriert, bedeutet, dass es den Source selbständig fuzzen kann, wenn es eine neue Pull- oder Merge-Frage gibt, sagt dasjenige Unternehmen.

„Source Intelligence hilft Entwicklern, sichere Software auszuliefern, während sie die notwendigen Integrationen bewilligen, um ihren Source im Kontext jeder Pull-Funktionalität zu testen, ohne jemals ihre bevorzugte Umgebung verlassen zu sollen. Es ist, qua hätten Sie immer vereinen automatisierten Sicherheitsexperten an Ihrer Seite“, sagte Thomas Dohmke, Geschäftsführer von GitHub, in einer Hinweistext.