Linux Magazin germany

EFFIZIENT ENTWANZT

Schafft modernes Fuzzing bewährte Testmethoden ab?

Je früher im Entwicklungsprozess man eine Schwachstelle findet, desto einfacher lässt sie sich beheben. Immer mehr Entwickler setzen auf automatisiertes Fuzz Testing, um Probleme und Gefahren zu erkennen, bevor die Software in den produktiven Einsatz geht. Fuzz Testing beruht darauf, die zu testende Applikation mit zufällig generierten Testeingaben auszuführen 1. Einige davon wird die Anwendung verarbeiten, andere abweisen. In manchen Fällen führen die Eingaben jedoch zu für den Entwickler aufschlussreichen Fehlern.

Mit kaum einem anderen Testverfahren lassen sich so viele Bugs aufspüren wie mit Fuzzing. Tech-Riesen wie Google haben das Potenzial von Feedback-basiertem tem Fuzzing bereits früh erkannt. Allein im Chrome Browser fand Google schon mehr als 29 000 Bugs mit Fuzzing und stöberte weitere 30 000 in anderen Open-Source-Anwendungen auf. Microsoft identifizierte mit Fuzzing über 1800 Schwachstellen in Microsoft Office, internationale Forscher förderten damit schließlich 1000 Bugs im LinuxKernel zutage.

Inzwischen gilt Fuzzing als massentauglich, immer mehr Entwicklerteams nehmen es in ihr Testing-Repertoire auf. Im Vergleich mit anderen Sicherheitsmaßnahmen wie der statischen Codeanalyse erzielt Fuzzing mit wenig Aufwand deutlich zuverlässigere Testergebnisse, ohne lästige False Positives. Zudem setzen immer mehr Industriestandards Fuzzing voraus.

Sie lesen eine Vorschau. Registrieren Sie sich, um mehr zu lesen.

Mehr von Linux Magazin germany

Linux Magazin germany7 min gelesen
Nach Ablaufplan
Prozedurales Programmieren am Beispiel von COBOL Wer das Schlagwort prozedurales Programmieren hört, der denkt wohl in aller Regel an vergangene Zeiten, vor der Einführung von objektorientierten Paradigmen oder der funktionalen Programmierung. Den me
Linux Magazin germany2 min gelesen
Inserenten/Autoren/Events
1 nur erhältlich in Verbindung mit einem Jahresabo Print Schüler- und Studentenermäßigung: 20 Prozent gegen Vorlage eines Schülerausweises oder einer aktuellen Immatrikulationsbescheinigung. Der aktuelle Nachweis ist bei Verlängerung neu zu erbringen
Linux Magazin germany4 min gelesen
Vergleichsweise
C++-Core-Guidelines – Folge 63 Um es vorwegzunehmen: Dieser Artikel hat keinen besonders ausgeprägten Bezug zu den beiden Regeln T.64 „Use specialization to provide alternative implementations of class templates“ und T.67: „Use specialization to prov