Microsoft ruft Sheriff Fuzzy

Gute Nachricht für alle Fans von Sheriff Fuzzy: Zwar hat der Freizeitpark Fort Fun Hauptdarsteller Tränkler und seine Familie in die Wüste geschickt, aber Microsoft führt die Tradition dem Project OneFuzz weiter.

Googles Open-Source-Fuzzing-Bots haben Google dabei geholfen, Tausende von Fehlern in seiner eigenen Software und anderen Open-Source-Software-Projekten zu entdecken. Jetzt veröffentlicht Microsoft seine Antwort auf die gleiche Herausforderung für Software-Entwickler.

Project OneFuzz ist auf GitHub unter einer Open-Source-MIT-Lizenz verfügbar, wie die anderen Open-Source-Projekte von Microsoft, wie Visual Studio Code, .NET Core und die Programmiersprache TypeScript für JavaScript.

Microsoft beschreibt Project OneFuzz als ein erweiterbares Fuzz-Testframework für Azure. Fuzzing besteht im Wesentlichen darin, Software mit zufälligem Code zu bewerfen, bis sie abstürzt, wodurch möglicherweise Sicherheitsprobleme, aber auch Leistungsprobleme aufgedeckt werden.

Google war ein großer Befürworter dieser Technik und hat Codierer und Sicherheitsforscher zum Fuzzing von Dienstprogrammen und Techniken gedrängt. Zu seinen Open-Source-Zerstörern gehören OSS-Fuzz und Cluster Fuzz.

OSS-Fuzz ist für Entwickler verfügbar, die es von GitHub herunterladen und für ihren eigenen Code verwenden können. Es ist auch als Cloud-Service für ausgewählte Open-Source-Projekte verfügbar.

Microsoft hat bereits angekündigt, dass es sein bestehendes Softwaretest-Toolset, das als Microsoft Security and Risk Detection bekannt ist, durch das automatisierte Open-Source-Fuzzing-Tool ersetzen wird.

Das Unternehmen aus Redmond sagt auch, dass es eine andere und teure Herausforderung für alle Unternehmen löst, die Softwareentwickler beschäftigen, und zollt Google Anerkennung für seine Pionierarbeit in dieser Technologie.

OneFuzz ist dasselbe Test-Framework, das Microsoft verwendet, um Edge, Windows und andere Produkte des Unternehmens zu testen. Es hat Microsoft laut Microsoft bereits geholfen, Windows 10 zu härten.

„Fuzz-Tests sind eine äußerst effektive Methode, um die Sicherheit und Zuverlässigkeit von nativem Code zu erhöhen – sie sind der Goldstandard für das Auffinden und Entfernen von kostspieligen, ausnutzbaren Sicherheitsmängeln“, so Justin Campbell, einer der Hauptverantwortlichen für die Entwicklung von Sicherheitssoftware bei Microsoft Security, und Mike Walker, Senior Director, Special Projects Management.

Traditionell sind Fuzz-Tests für Entwickler ein zweischneidiges Schwert: Sie sind durch den Lebenszyklus der Software-Entwicklung vorgeschrieben, höchst effektiv bei der Suche nach verwertbaren Fehlern, aber sehr kompliziert in der Nutzung, Ausführung und Informationsextraktion.

Diese Komplexität erforderte engagierte Sicherheitstechniker-Teams, die Fuzz-Testfähigkeiten aufbauen und betreiben mussten, was es sehr nützlich, aber auch teuer macht. Wenn Entwickler in die Lage versetzt werden, Fuzz-Tests durchzuführen, verschiebt sich die Entdeckung von Schwachstellen zu einem früheren Zeitpunkt im Entwicklungszyklus und gibt gleichzeitig den Sicherheitstechnik-Teams die Möglichkeit, proaktiv zu arbeiten.

Wie Microsoft anmerkt, „haben die jüngsten Fortschritte in der Welt der Compiler, die im LLVM als Open Source zur Verfügung stehen und von Google eingeführt wurden, die sicherheitstechnischen Aufgaben beim Fuzz-Testen von nativem Code verändert“.

Diese Fortschritte machen es laut Microsoft günstiger für Entwickler, Prozesse zu kontinuierlichen Build-Systemen auszubauen. Dazu gehört auch die Absturzerkennung, die früher über Tools wie Electric Fence angebracht wurde. Jetzt können sie mit Asan eingebaut werden.

Microsoft hat Visual Studio auch experimentelle Unterstützung für diese Funktionen hinzugefügt, so dass Testbinärdateien von einem Compiler erstellt werden können, wodurch Entwickler die Notwendigkeit vermeiden können, sie in eine Pipeline für kontinuierliche Integration (CI) oder kontinuierliche Entwicklung (CD) einzubauen. Es hilft Entwicklern auch bei der Skalierung von Fuzzing-Arbeitslasten in der Cloud.