渗透测试的福音:既好用成本又低的云端模糊测试【转】

时间:2016.10.02 来源:安全牛

6年前一篇研究文章中提出的微软理念——“云端模糊测试(Fuzzing)将彻底改变安全测试”,以 Project Springfield 漏洞发现项目的登场亮相作为其实现形式。 Project Springfield 是基于Azure云的服务,依靠自动向代码提交不良输入来发现软件漏洞。

微软提出的“云端模糊测试即服务”

9月26号在亚特兰大Ignite大会上推出的 Project Springfield,为开发者在微软Azure云端虚拟机上进行持续性二进制文件测试的能力,有助发现和清除漏洞。

微软研究团队将 Project Springfield 比作“百万美元漏洞检测机”,因为有些软件漏洞如果遗留时间过长,便会造成如此巨大的损失。当然,损失额度不一而足。

2002年美国国家标准技术局(NIST)发布的一份研究估测,软件漏洞每年导致的美国经济损失在222亿到595亿美元之间(现在大概在790亿美元左右)。在软件发布前捕获漏洞,应该可以降低修复费用。

微软称,Window 7 “百万美元”安全漏洞中的1/3,都是用其“白箱模糊测试”技术发现的,该技术内部称为SAGE(可扩展、自动化、指导性执行)。SAGE就是 Project Springfield 的其中一个组件。

正如硅谷最近沸沸扬扬的其他公告,人工智能(AI)在这里面也掺了一脚。微软称其系统利用AI就“可能导致代码崩溃的条件”提出问题并做出更好决策。

微软的白箱模糊测试算法象征性地从一个起始输入执行代码,并依据一路遇到的约束条件语句产生随后的输入数据。该技术与黑箱模糊测试完全不同,黑箱测试并不保证发送的畸形输入数据会通过所有目标路径。因而,黑箱模糊测试有可能漏掉关键测试条件。

模糊测试适用于云计算,因为模糊测试软件可利用大量可用基础设施并行执行不同测试。但微软研究人员在2010年的研究论文中说道,这种计算灵活性甚至不如共享云基础设施得来的好处重要。

将安全测试托管在云端,缩短简化了从每个应用收集信息、推送更新、驱动未来开发改进的过程。

当然,也缩短了账单。

此条目发表在安全资讯分类目录。将固定链接加入收藏夹。