Microsoft представила Project OneFuzz – фреймворк для поиска уязвимостей в ПО

Microsoft представила Project OneFuzz – фреймворк для поиска уязвимостей в ПО

25.09.2020     

Компания Microsoft официально анонсировала фреймворк Project OneFuzz. Он поможет разработчикам находить уязвимости в коде и оперативно устранять их.

Достойная замена

Основным инструментом для тестирования ПО от Microsoft ранее был Microsoft Security and Risk Detection. В начале года компания объявила, что откажется от него в пользу более функционального решения с открытым исходным кодом. 

Заменой стал Project OneFuzz. Этот инструмент можно использовать для тестирования различных приложений, в том числе облачной платформы Azure.

Код фреймворка доступен на GitHub. Разработчики заявили, что уже несколько месяцев используют его для тестирования ОС Windows, браузера Edge и других проектов Microsoft. Теперь среда доступна для всех специалистов.

Доступное нечеткое тестирование

Фреймворк основан на концепции нечеткого тестирования (фаззинга). Это очень эффективный метод повышения безопасности и надежности машинного кода. В последние годы он становится золотым стандартом для поиска и устранения дорогостоящих уязвимостей в системах безопасности программного обеспечения. 

Суть нечеткого тестирования – в предоставлении программе неверных, неожиданных или случайных данных. Многие разработчики считают эту концепцию палкой о двух концах. С одной стороны, фазинг необходимо вписывать в жизненный цикл разработки программного обеспечения, чтобы добиться высокой эффективности поиска ошибок. Но при этом для эффективного фаззинга нужны узкие специалисты, и не все компании могут их себе позволить. 

OneFuzz обещает сделать нечеткое тестирование доступнее. С новым фреймворком можно перенести такие тесты на более ранние стадии жизненного цикла программы и задействовать имеющихся специалистов. В результате тестирование обойдется дешевле, а проблемы, найденные на ранних стадиях разработки, будет проще решить. 

Особенности OneFuzz

OneFuzz можно встроить в системы непрерывной сборки. Фреймворк включает инструмент обнаружения сбоев, средства определения уровня покрытия тестами, обвязку ввода-вывода. 

К платформе можно подключать собственные фаззеры, гибко управлять входными данными, настраивать и дорабатывать встроенные инструменты. В результате вы сможете создать эффективный конвейер для облачного фаззинг-тестирования продуктов перед релизом. 

С помощью командной строки, встроенной в систему сборки, в OneFuzz можно запускать фазз-тесты разных масштабов: от нескольких виртуальных машин до систем, которые включают тысячи вычислительных ядер. Разработчики отметили, что фреймворк уже позволил обнаружить ряд серьезных уязвимостей в коде Windows перед релизами последних сборок ОС. 

OneFuzz может выполнять отладку по запросу или в режиме реального времени. Он также умеет отправлять уведомления о сбоях в Microsoft Teams и взаимодействовать со средой Azure DevOps.



Источник: https://infostart.ru/journal/news/tekhnologii/microsoft-predstavila-project-onefuzz-freymvork-dlya-poiska-uyazvimostey-v-po_1299878/
Автор:
Ксения Шестакова Обозреватель


В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
В этой теме еще нет сообщений.
Оставьте свое сообщение

См. также

«Ростелеком»: 5G-связи в европейской части России не будет

Новость ИТ-новость Телекоммуникации

Совет безопасности определился, какие частоты подойдут российским операторам для развертывания 5G-сетей. Но «Ростелеком» утверждает, что в выбранном диапазоне невозможно распространять сигнал по европейской части РФ.

вчера в 11:32    746    VKuser24342747    1       

Прощай, G Suite: набор облачных сервисов переименовали в Google Workspace

Новость Google ИТ-новость Новости компаний

Компания Google провела ребрендинг облачных сервисов. Теперь G Suite называются Google Workspace, и они получили несколько новых возможностей.

20.10.2020    1470    user1015646    0       

Начато производство «первой в мире» сверхскоростной памяти DDR5

Новость ИТ-новость Микроэлектроника

SK hynix представила «первые в мире» чипы DDR5. Новая энергозависимая память, как утверждают в южнокорейской компании, почти вдвое производительнее DDR4 и на 20% экономнее использует заряд батареи. Емкость модулей может достигать 256 ГБ.

20.10.2020    1018    user-programmist    2       

Дорожная карта Kotlin: новый компилятор и WebAssembly

Новость ИТ-новость Языки программирования

Kotlin – статически типизированный язык, разработанный JetBrains для JVM, Android и веб-разработки. В скором времени он должен получить новый компилятор, мультиплатформенные мобильные улучшения и серверную часть компилятора Kotlin-to-WebAssembly.

16.10.2020    2230    SKravchenko    0       

Российские инженеры создали процессор «Эльбрус» по техпроцессу 16 нм

Новость Импортозамещение ИТ-новость Микроэлектроника Новости компаний

Компания МЦСТ представила первый 16-нанометровый процессор, разработанный полностью на российских технологиях. Микрочип также стал первым отечественным ЦПУ с частотой 2 ГГц.

15.10.2020    1980    VKuser24342747    1       

Первый робот-товароукладчик, управляемый через VR, выходит на работу

Новость Автоматизация Искусственный интеллект ИТ-новость Робототехника

Робот-товароукладчик Model-T с VR-управлением готов приступить к первой рабочей смене в магазине. При наличии стабильного интернета оператор может управлять роботом откуда угодно.

15.10.2020    1929    user-programmist    3       

Объем программного кода в компаниях за 10 лет вырос в 100 раз

Новость GitHub ИТ-новость

Количество репозиториев и объем программного кода в них с 2010 года увеличились в 100 раз. Такие данные привели создатели движка Sourcegraph для навигации по репозиториям кода.

15.10.2020    1588    user1015646    4       

JetBrains выпустила инструмент для совместной разработки Code With Me

Новость ИТ-новость Новости компаний Разработка

JetBrains открыла ранний доступ к новому инструменту для удаленной совместной разработки и парного программирования Code With Me. Он представлен в виде плагина, доступного в IntelliJ IDEA и других IDE на основе IntelliJ, начиная со сборки 2020.2.x.

14.10.2020    2393    capitan    1       

Выпущен новый релиз языка программирования Python 3.9

Новость ИТ-новость Языки программирования

5 октября Python Software Foundation выпустила Python 3.9. Раньше команда Python придерживалась 18-месячного цикла разработки, но теперь перешла на годовой цикл. Python 3.9 внес существенные изменения как в сам язык, так и в способы его разработки.

14.10.2020    2565    SKravchenko    2       

Microsoft разработала единый интерфейс для совместной работы классических и квантовых вычислений

Новость ИТ-новость Новости компаний Языки программирования

Microsoft анонсировала промежуточное представление QIR (квантовое промежуточное представление), которое выполняет роль общего интерфейса между языками программирования и целевыми платформами квантовых вычислений.

13.10.2020    1568    SKravchenko    3       

Нейросеть неделю выдавала себя за человека на Reddit

Новость Искусственный интеллект ИТ-новость Соцсети

На Reddit появился странный автор, который за считанные секунды публиковал к постам длинные и содержательные комментарии. Один из пользователей соцсети заинтересовался этим аккаунтом и пришел к выводу, что его ведет нейросеть.

13.10.2020    1721    VKuser24342747    7       

Россия намерена запустить аналог TikTok

Новость Mail.Ru ИТ-новость Телекоммуникации

В РФ может появиться собственный сервис для коротких видео. Отечественный аналог TikTok будет ориентирован на школьников: здесь планируют бороться с запрещенными тематиками и негативом.

09.10.2020    2538    user1015646    9       

IPv6 становится популярнее: интернету вещей нужны новые адреса

Новость Интернет ИТ-новость Облачные технологии Робототехника

Существующая система адресации, построенная на протоколе IPv4, практически бесполезна в эпоху грядущего «интернета машин». Решить проблему призван новый протокол – IPv6.

08.10.2020    1744    user-programmist    0       

Ruby 3 обещает параллельное выполнение

Новость ИТ-новость Языки программирования

Ruby 3.0.0 – это планируемое обновление динамического языка с открытым исходным кодом, которое уже доступно в качестве предварительной версии. Основные особенности новой версии включают возможности параллельного выполнения и описания типов.

08.10.2020    2023    SKravchenko    0       

Эрик Рэймонд считает, что Microsoft готова заменить ядро ​​Windows на Linux

Новость Windows Linux ИТ-новость

Сторонник открытого исходного кода и писатель Эрик Рэймонд, широко известный своей работой «Собор и базар», выразил мнение, что Microsoft готова заменить Windows на Linux.

07.10.2020    1222    SKravchenko    5       

Пандемия стимулирует рост рынка телемедицины во всем мире

Новость ИТ-новость Медицина Облачные технологии

Пандемия COVID-19 дала толчок активному росту рынка дистанционной связи и организации удаленной работы по всему миру. Стремительные темпы развития коснулись и повсеместного внедрения систем телемедицины.

07.10.2020    2415    user-programmist    0       

GitHub открыл доступ к функции сканирования кода

Новость GitHub Безопасность ИТ-новость

Функция сканирования кода на GitHub стала доступна для всех пользователей. Инструмент позволит найти уязвимости в коде до релиза. Его можно связать с системами непрерывной интеграции и развертывания.

07.10.2020    2149    user1015646    0       

Apple открыла исходный код Swift System, выпустила Swift 5.3 и сделала язык доступным на Windows

Новость Windows Mac OS ИТ-новость Новости компаний Языки программирования

25 сентября Apple открыла исходный код библиотеки Swift System под лицензией Apache 2.0. Незадолго до этого компания выпустила релиз Swift 5.3 Linux, macOS и Windows 10.

06.10.2020    1698    SKravchenko    1       

Microsoft выпустит версию браузера Edge для Linux

Новость Linux Интернет ИТ-новость Новости компаний

Компания Microsoft продолжает все теснее взаимодействовать с операционной системой Linux и ее сообществом. На этот раз разработчики объявили о скором выходе версии Microsoft Edge для Linux.

05.10.2020    1279    user1015646    2       

GitHub представил консольную утилиту CLI

Новость GitHub Автоматизация ИТ-новость

Крупнейший в мире хостинг репозиториев GitHub представил новую консольную утилиту GitHub CLI. Она позволяет комфортнее работать в терминале с проектами любого масштаба и создавать пулл-реквесты непосредственно из консоли.

01.10.2020    2572    user1015646    0       

Microsoft представила патч для Linux, чтобы запускать ее как корневую ОС в гипервизоре

Новость Windows Linux ИТ-новость

Компания Microsoft выпустила патч для Linux. Он позволит запускать операционную систему с открытым исходным кодом в качестве корневой в гипервизоре Microsoft Hyper-V.

30.09.2020    2843    user1015646    1       

В следующем году Google откажется от платных расширений для браузера Chrome

Новость Google Интернет ИТ-новость Новости компаний Онлайн-торговля

Полгода назад Google приостановил добавление новых платных расширений в интернет-магазин Chrome после выявленных фактов мошенничества. А на днях представители компании заявили, что платежная система Chrome Web Store устарела и будет закрыта.

29.09.2020    1797    SKravchenko    0       

Microsoft представила инструменты общения с пользователями Azure Communication Services

Новость Интеграция ИТ-новость Мессенджеры Новости компаний Облачные технологии

Microsoft презентовала набор сервисов для своей облачной платформы – Azure Communication Services. Разработчики могут использовать их на своих сайтах и в приложениях, чтобы общаться с пользователями: в чатах, посредством аудио- и видеозвонков.

29.09.2020    1495    user1015646    0       

Министерство цифрового развития запретит шифровать сайты из-за проблем при их блокировке

Новость Интернет ИТ-новость Минкомсвязь Роскомнадзор

Министерство цифрового развития хочет запретить некоторые протоколы шифрования в России. Причина – сложности при блокировке защищенных сайтов.

28.09.2020    1799    VKuser24342747    4       

Крупное обновление: Oracle представила JDK 15

Новость ИТ-новость Новости компаний Языки программирования

Компания Oracle представила новую версию JDK (Java Development Kit) 15. В мажорное обновление комплекта инструментов разработчика вошли 14 JEP (JDK Enhancement Proposal, предложений по улучшению JDK) и тысячи мелких исправлений.

28.09.2020    2318    user1015646    1