O CI Fuzz CLI, disponível no GitHub , utiliza algoritmos genéticos e evolutivos e instrumentação automatizada para gerar dinamicamente milhões de entradas incomuns para testar aplicativos Java quanto a comportamentos inesperados que podem levar a travamentos, DoS ou exploits de dia zero.
teste fuzz
O teste fuzz, que pode ser visto como uma abordagem complementar ao teste de unidade, está ganhando popularidade na comunidade de código aberto. A equipe de segurança de código aberto (OSS) do Google relatou recentemente que mais de 40.500 bugs em 650 projetos de código aberto foram detectados por meio de testes fuzz. No entanto, o teste fuzz permanece novo para a maioria dos desenvolvedores fora do OSS e da comunidade de segurança.
recente Um estudo entre desenvolvedores Go indica que menos de 12% de todos os participantes usam o teste fuzz no trabalho, citando a falta de compreensão e os desafios de implementação como os principais motivos para a baixa adoção.
Os desenvolvedores Java podem melhorar a segurança de seus aplicativos
A nova ferramenta de código aberto da Code Intelligence visa enfrentar esses desafios, tornando o teste fuzz acessível e utilizável para todos os desenvolvedores diretamente de sua linha de comando ou IDE. Ao introduzir novos recursos de fuzzing para Java, o CI Fuzz CLI permite testes contínuos de segurança de aplicativos diretamente no processo de CI/CD. Isso é especialmente valioso para empresas com produtos e serviços baseados em nuvem que desejam desenvolver um pipeline maduro de DevSecOps .
“Com o CI Fuzz CLI, os desenvolvedores Java agora podem melhorar a segurança geral e a robustez de seus aplicativos com confiança e facilidade. Leva apenas três comandos para configurar e executar um teste fuzz. A ferramenta vem com integrações prontas para uso para Maven, Gradle e Bazel. Com uma configuração JUnit instalada, os desenvolvedores podem até executar testes fuzz diretamente de seu IDE”, disse Werner Krahe , diretor de produto da Code Intelligence.
“Se você é completamente novo em fuzzing, recomendo começar com uma configuração de teste simples. Use seus testes de unidade pré-existentes como modelo para executar testes fuzz locais em pequenas bibliotecas e utilitários. Depois de um tempo, você pode ir mais longe e aplicá-lo a configurações de teste mais complexas. Em última análise, o teste fuzz fornecerá os melhores resultados ao executar continuamente em seu CI/CD”, concluiu Krahe.
“O Code Intelligence ajuda os desenvolvedores a enviar software seguro, fornecendo as integrações necessárias para testar seu código a cada pull request, sem precisar sair de seu ambiente favorito. É como ter um especialista em segurança automatizado sempre ao seu lado”, disse Thomas Dohmke , CEO do GitHub.
6 thoughts on “CI Fuzz CLI: ferramenta de código aberto para testar aplicativos Java quanto a comportamentos inesperados”
Comments are closed.