6年前一篇研究文章中提出的微軟理念——“云端模糊測試(Fuzzing)將徹底改變安全測試”,以 Project Springfield 漏洞發現項目的登場亮相作為其實現形式。 Project Springfield 是基于Azure云的服務,依靠自動向代碼提交不良輸入來發現軟件漏洞。
微軟提出的“云端模糊測試即服務”
9月26號在亞特蘭大Ignite大會上推出的 Project Springfield,為開發者在微軟Azure云端虛擬機上進行持續性二進制文件測試的能力,有助發現和清除漏洞。
微軟研究團隊將 Project Springfield 比作“百萬美元漏洞檢測機”,因為有些軟件漏洞如果遺留時間過長,便會造成如此巨大的損失。當然,損失額度不一而足。
2002年美國國家標準技術局(NIST)發布的一份研究估測,軟件漏洞每年導致的美國經濟損失在222億到595億美元之間(現在大概在790億美元左右)。在軟件發布前捕獲漏洞,應該可以降低修復費用。
微軟稱,Window 7 “百萬美元”安全漏洞中的1/3,都是用其“白箱模糊測試”技術發現的,該技術內部稱為SAGE(可擴展、自動化、指導性執行)。SAGE就是 Project Springfield 的其中一個組件。
正如硅谷最近沸沸揚揚的其他公告,人工智能(AI)在這里面也摻了一腳。微軟稱其系統利用AI就“可能導致代碼崩潰的條件”提出問題并做出更好決策。
微軟的白箱模糊測試算法象征性地從一個起始輸入執行代碼,并依據一路遇到的約束條件語句產生隨后的輸入數據。該技術與黑箱模糊測試完全不同,黑箱測試并不保證發送的畸形輸入數據會通過所有目標路徑。因而,黑箱模糊測試有可能漏掉關鍵測試條件。
模糊測試適用于云計算,因為模糊測試軟件可利用大量可用基礎設施并行執行不同測試。但微軟研究人員在2010年的研究論文中說道,這種計算靈活性甚至不如共享云基礎設施得來的好處重要。
將安全測試托管在云端,縮短簡化了從每個應用收集信息、推送更新、驅動未來開發改進的過程。
當然,也縮短了賬單。
京公網安備 11010502049343號