微软推出了新的开源错误发现工具Project OneFuzz

今天，该技术巨头已经在相同的许可下发布了一个新的开源工具-OneFuzz项目。该新平台将替代Microsoft已停产的安全风险检测服务，该平台被称为 Azure的开源自托管开发人员测试平台”。

模糊测试本质上是通过严格的测试过程来消除可利用的安全漏洞，该过程涉及用大量随机数据泛滥相关程序。尽管非常有用，但执行起来也常常很复杂。OneFuzz项目试图利用开源LLVM编译器基础结构项目的最新进展，使模糊测试变得更轻松，更连续。

由于上述进步，以前必须连接到连续构建系统的相关机制现在可以直接烘焙到其中。例如，崩溃检测可以通过asan工具内置，而覆盖范围跟踪可以使用SanitizerCoverage(sancov)工具进行烘焙。展望未来，这些更改将使在单个可执行文件中内置多种模糊测试技术，从而可以开发单元测试二进制文件。

然后，Project OneFuzz允许将这些测试二进制文件构建到CI / CD管道和云中的大规模Fuzz工作流程中。该工具的突出功能包括：

可组合的模糊测试工作流程：开放源代码允许用户使用自己的模糊测试工具，交换仪器和管理种子输入。

内置的集成模糊测试：默认情况下，模糊测试器作为一个团队来共享优势，在模糊测试技术之间交换感兴趣的输入。

程序分类和结果重复数据删除：它提供了始终重复的独特缺陷案例。

按需实时发现已崩溃的调试：它使您可以按需或从构建系统中调用实时调试会话。

可观察和可调试：透明的设计允许自省每个阶段。

Windows和Linux操作系统上的模糊性：设计成多平台。使用您自己的OS构建，内核或嵌套的管理程序进行模糊测试。

崩溃报告通知回调：当前支持Azure DevOps工作项和Microsoft Teams消息

该测试框架已在包括Microsoft Edge和Windows在内的其他Microsoft服务和平台中使用。现在，随着OneFuzz项目的可用性扩展到全世界的开发人员，可以在GitHub上访问它。微软欢迎开源社区的贡献，该公司承诺将来会对该工具进行将来的更新。