今天早些時候,，Microsoft 更新了Visual Studio Code的C ++擴(kuò)展，將其擴(kuò)展到了1.0版,。源代碼編輯器是在標(biāo)準(zhǔn)MIT許可下可在GitHub上獲得的幾種Microsoft產(chǎn)品之一,。

今天，該技術(shù)巨頭已經(jīng)在相同的許可下發(fā)布了一個新的開源工具-OneFuzz項(xiàng)目,。該新平臺將替代Microsoft已停產(chǎn)的安全風(fēng)險檢測服務(wù),，該平臺被稱為 Azure的開源自托管開發(fā)人員測試平臺。

模糊測試本質(zhì)上是通過嚴(yán)格的測試過程來消除可利用的安全漏洞,，該過程涉及用大量隨機(jī)數(shù)據(jù)泛濫相關(guān)程序,。盡管非常有用，但執(zhí)行起來也常常很復(fù)雜,。OneFuzz項(xiàng)目試圖利用開源LLVM編譯器基礎(chǔ)結(jié)構(gòu)項(xiàng)目的最新進(jìn)展,，使模糊測試變得更輕松，更連續(xù),。

由于上述進(jìn)步,，以前必須連接到連續(xù)構(gòu)建系統(tǒng)的相關(guān)機(jī)制現(xiàn)在可以直接烘焙到其中。例如,，崩潰檢測可以通過asan工具內(nèi)置,，而覆蓋范圍跟蹤可以使用SanitizerCoverage(sancov)工具進(jìn)行烘焙。展望未來,，這些更改將使在單個可執(zhí)行文件中內(nèi)置多種模糊測試技術(shù),，從而可以開發(fā)單元測試二進(jìn)制文件,。

然后，Project OneFuzz允許將這些測試二進(jìn)制文件構(gòu)建到CI / CD管道和云中的大規(guī)模Fuzz工作流程中,。該工具的突出功能包括：

可組合的模糊測試工作流程：開放源代碼允許用戶使用自己的模糊測試工具,，交換儀器和管理種子輸入。

內(nèi)置的集成模糊測試：默認(rèn)情況下,，模糊測試器作為一個團(tuán)隊來共享優(yōu)勢,，在模糊測試技術(shù)之間交換感興趣的輸入。

程序分類和結(jié)果重復(fù)數(shù)據(jù)刪除：它提供了始終重復(fù)的獨(dú)特缺陷案例,。

按需實(shí)時發(fā)現(xiàn)已崩潰的調(diào)試：它使您可以按需或從構(gòu)建系統(tǒng)中調(diào)用實(shí)時調(diào)試會話,。

可觀察和可調(diào)試：透明的設(shè)計允許自省每個階段。

Windows和Linux操作系統(tǒng)上的模糊性：設(shè)計成多平臺,。使用您自己的OS構(gòu)建,，內(nèi)核或嵌套的管理程序進(jìn)行模糊測試,。

崩潰報告通知回調(diào)：當(dāng)前支持Azure DevOps工作項(xiàng)和Microsoft Teams消息

該測試框架已在包括Microsoft Edge和Windows在內(nèi)的其他Microsoft服務(wù)和平臺中使用?，F(xiàn)在，隨著OneFuzz項(xiàng)目的可用性擴(kuò)展到全世界的開發(fā)人員,，可以在GitHub上訪問它,。微軟歡迎開源社區(qū)的貢獻(xiàn)，該公司承諾將來會對該工具進(jìn)行將來的更新,。