Wczoraj pisaliśmy o aktualizacji rozszerzenia C++ dla Visual Studio Code do ogólnodostępnej wersji 1.0. VS Code to jeden z wielu produktów Microsoftu dostępnych w GitHub na standardowej licencji MIT. Niedługo potem gigant opublikował kolejne narzędzie Open Source na tej samej licencji. Nosi ono nazwę Project OneFuzz i jako nowa, "open source'owa, samohostowana platforma deweloperska do fuzzingu w Azure" zastępuje odesłaną na emeryturę usługę Security Risk Detection Service.
Fuzzing, znany też jako fuzz testing, to technika usuwania dających się exploitować luk w oprogramowaniu poprzez rygorystyczny proces testowania, w skład którego wchodzi zalewanie programu zapytaniami z ogromnymi ilościami losowych danych. To technika tyle użyteczna, co często skomplikowana w wykonaniu. Project OneFuzz ma za zadanie to ułatwić i uczynić proces bardziej ciągłym poprzez wykorzystanie ostatnich osiągnięć poczynionych w open source'owym projekcie infrastruktury kompilatora LLVM.
W efekcie projekt zawiera mechanizmy, które wcześniej musiały być załączane do systemów w ramach ciągłej integracji. Teraz mogą być bezpośrednio w nie włączone. Narzędzie pozwala między innymi wprowadzać własne fuzzery, zmieniać instrumentacje, uruchamiać fuzzery zespołowo, duplikować rezultaty, debugować w czasie rzeczywistym i na żądanie znalezione crashe, dokładnie przyglądać się każdemu etapowi, uruchamiać fuzzing na systemach Linux i Windows oraz generować powiadomienia dla Azure DevOps Work Items i Microsoft Teams.
Framework testowania jest już obecnie używany przez Microsoft w takich produktach, jak Microsoft Edge czy Windows. Teraz dostępność Project OneFuzz rozszerzyła się na wszystkich zainteresowanych deweloperów z całego świata. Dostęp do niego uzyskamy poprzez GitHub. Warto dodać, że projekt jest otwarty na wkład społeczności Open Source, a Microsoft obiecuje, że jego przyszłe aktualizacje będą zawierały te kontrybucje.
341f31d.png)