【业界新闻】微软开源模糊测试框架

OneFuzz被描述为一种自托管的模糊测试即服务平台，使开发人员驱动的模糊测试可以在开发过程中识别软件漏洞。

模糊测试旨在通过发现代价高昂的可利用安全漏洞来提高本机代码的安全性和可靠性。 模糊测试 涉及对软件进行随机输入，以查找无法预料的动作可能导致软件故障的实例。

但是，Microsoft指出，模糊测试一直是开发人员的双刃剑，受软件开发生命周期的要求，可以有效地发现可操作的缺陷，但实施起来困难且昂贵，因此需要专门的安全工程团队来构建模糊测试功能并利用结果。

使开发人员能够运行模糊测试，可以将漏洞发现转移到开发生命周期的早期，并使安全工程团队有更多的时间从事更积极的工作。OpenFuzz的全球发行版旨在帮助开发人员加强为用户的日常工作和个人生活提供支持的软件，从而使攻击者的工作更加艰巨。

执行OneFuzz中的单个命令后，使用OneFuzz的开发人员可以启动模糊作业，其范围从几个虚拟机到数千个内核。可扩展的OneFuzz可以替代Microsoft安全风险检测软件测试机制。OneFuzz已用于开发Microsoft Edge浏览器和Windows。

OneFuzz功能和优点：

可组合的模糊测试工作流程

内置集成模糊测试，模糊测试团队共享优势并在模糊测试技术之间交换感兴趣的输入

崩溃的按需实时调试

程序分类和结果重复数据删除

崩溃报告通知回调

适用于Windows和Linux

微软称，谷歌在编译器方面的进步已经改变了模糊测试本机代码所涉及的安全工程任务。该公司表示，曾经花费相当多的钱实施的东西现在可以放入连续的构建系统中。