Microsoft ha anunciado la disponibilidad de Project OneFuzz, una herramienta de desarrollador de código abierto para encontrar y corregir errores a escala.
Fuzzing es una técnica utilizada para probar el software y encontrar problemas de seguridad. Las pruebas fuzz han sido un arma de doble filo para los desarrolladores: exigidas por el ciclo de vida del desarrollo de software, altamente efectivo para encontrar fallas procesables, pero muy complicado de aprovechar, ejecutar y extraer información.
Project OneFuzz permite el fuzzing continuo impulsado por el desarrollador para fortalecer proactivamente el software antes de su lanzamiento. Permitir que los desarrolladores realicen pruebas de fuzz desplaza el descubrimiento de vulnerabilidades a una etapa más temprana del ciclo de vida del desarrollo y, al mismo tiempo, libera a los equipos de ingenieros de seguridad para que realicen un trabajo proactivo.
El proyecto OneFuzz permite:
- Flujos de trabajo de fuzzing componibles: el código abierto permite a los usuarios incorporar sus propios fuzzers, intercambiar instrumentación y administrar entradas de semillas.
- Fuzzing de conjunto incorporado: de forma predeterminada, los fuzzers trabajan en equipo para compartir fortalezas, intercambiando entradas de interés entre tecnologías de fuzzing.
- Triaje programático y deduplicación de resultados: proporciona casos de defectos únicos que siempre se reproducen.
- Depuración en vivo bajo demanda de fallas encontradas: le permite convocar una sesión de depuración en vivo bajo demanda o desde su sistema de compilación.
- Observable y depurable: el diseño transparente permite la introspección en cada etapa.
- Fuzz en sistemas operativos Windows y Linux: diseño multiplataforma. Fuzz utiliza su propia compilación de sistema operativo, kernel o hipervisor anidado.
- Devolución de llamadas de notificación de fallos: actualmente admite elementos de trabajo de Azure DevOps y mensajes de Microsoft Teams
OneFuzz está disponible a través de GitHub como una herramienta de código abierto para los desarrolladores de todo el mundo. Ha sido utilizado como marco de referencia para pruebas por Microsoft Edge, Windows y los equipos de Microsoft.