首页
社区
课程
招聘
[原创]安般科技智能模糊测试系统,助力国产软件质量的领航员
发表于: 2022-7-13 10:23 8417

[原创]安般科技智能模糊测试系统,助力国产软件质量的领航员

2022-7-13 10:23
8417

随着防火墙、内网隔离等常规网络安全基础设施的持续迭代,网络空间安全将进入纵深地带,核心战场将从外部边界防护迁移到软件内部安全上。即当单纯外部网络系统攻防都做的非常完备的时候,软件内部的致命漏洞将成为整个安全流程中的阿喀琉斯之踵,而软件内部漏洞挖掘也将成为未来安全体系中最重要的环节。

 

那么,我们应该如何来挖掘软件内部的漏洞呢?传统软件测试仍是以人工为主,部分辅助一些静态分析工具。随着软件规模的大爆发,据统计整体代码量正在以每年1110亿行代码的速度增长,人工写测试用例的方式已经远远不能满足各行业对于软件安全性和健壮性的要求。基于静态分析的代码审计工具,通过漏洞规则去做模式匹配,只能查找已知漏洞,误报率高,并且对复杂逻辑的代码场景以及未知缺陷无能为力。

 

模糊测试是一种高效保证软件质量的动态测试方法,但是目前商业化产品较少,而开源的模糊测试工具使用难度高、适配性不强,需要大量的人工才能获得有效的测试结果。

 

因此,我们迫切需要一种有效的商业化模糊测试产品来挖掘软件漏洞,满足软件安全性和健壮性的要求,并大力提升软件质量。

 


2018年,安般科技根据前期的程序分析技术积累,完成了模糊测试系统雏形,并于2020年实现易恒智能模糊测试系统商业化,是国内首批模糊测试商业化产品。此后,安般科技通过该核心产品全面进入军工、信创和汽车等行业,并与多个行业的标杆客户展开合作,在产品的开发和测试阶段挖掘软件缺陷,为企业软件质量保驾护航。

 

自动用例生成
易恒智能模糊测试系统使用定制的编译器对程序进行插桩,根据插桩反馈智能自动生成测试用例覆盖各种路径场景,提高测试覆盖率。引入易恒模糊测试系统后,研发团队无需大量人工编写测试用例、搭建硬件环境,将替代手动编写负面测试用例的工作。

 

缺陷精准定位
易恒智能模糊测试系统会记录错误现场,支持缺陷精准定位到代码行,并提供专业修复建议,从而辅助研发团队快速修复缺陷,节省大量手动调试时间。

 

操作易上手
易恒智能模糊测试系统支持全中文交互,操作界面简单干净,操作流程简单易懂,只需简单培训即可上手使用。系统支持Jenkins等开发工具集成,帮助客户完成测试左移,在开发环节发现隐藏在代码之中的漏洞风险,也可以对接缺陷管理系统实现全流程自动化闭环,大幅度缩短软件开发和测试周期。在实际应用中,相对于传统方式,易恒智能模糊测试系统预计平均为企业平均节约30%的人力成本。

 

零日漏洞挖掘
易恒智能模糊测试系统不依赖于已知漏洞库,在程序动态运行时挖掘未知缺陷,能够以纯自动化的方式找到其他任何测试工具都难以找到的零日漏洞,从而全方位保障软件鲁棒性和安全性。

 

测试报告内容丰富
易恒智能模糊测试系统支持一键导出测试报告,清晰展示项目详情,如测试的时间、生成的用例数量、测出的问题等。并且针对发现的缺陷展示bug详细信息,如bug摘要、缺陷类型、导致缺陷的代码行数、调用栈信息、修复建议和一些示例参考信息等。测试报告的丰富内容将辅助客户达成GJB438B军用软件开发通用要求。

 

部署方式灵活
易恒智能模糊测试系统针对不同的使用场景,支持云服务和私有化部署等多种方式,助力企业客户持续提升软件质量。

 

 

同时,易恒智能模糊测试系统可以完整接入到软件全生命周期的各个流程:在开发阶段,与CI工具深度融合,并可根据软件的构想和设计,通过全数字仿真搭建与真实硬件一致的环境,解决开发过程中的代码调试问题;在测试阶段,秉承“测试左移”的先进测试理念,在单元测试、模块集成层面使用智能模糊测试系统为单元测试、集成测试提供强大的负面测试支撑,在开发的早期阶段排除产品中存在的缺陷和风险;在验证阶段,智能模糊测试结合全数字仿真的技术可以免除繁琐的硬件环境搭建、验证动作,并可以保证硬件环境的可靠性、稳定性,有效规避验证过程中由于硬件环境问题造成的错误结论及繁杂的硬件排错工作;在维护阶段,易恒智能模糊测试系统具有提供故障的准确定位、具体信息的能力,能够快速复现故障现场,帮助开发人员高效、精准地修复故障及缺陷。

 

目前,易恒智能模糊测试系统已与多个行业标杆客户达成合作并获得良好的使用反馈,切实解决了国内企业在软件质量上的痛点,为国产软件赋能。比如某信创企业通过易恒系统在单元测试和集成测试层面进行模糊测试,通过动态运行的方式来发现各类导致程序崩溃的问题,并且将易恒集成到DevOps平台,实现全自动化测试流程,持续提升测试覆盖率。该客户将模糊测试和静态分析相结合以全方位保障软件的质量,极大地提高了软件稳定性,并提高了市场竞争力。未来,易恒智能模糊测试系统将继续在软件的开发、测试、验收等全生命周期的应用中帮助企业提升开发效率、降低研发成本、提高软件质量。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 3
支持
分享
最新回复 (1)
雪    币: 612
活跃值: (3809)
能力值: ( LV12,RANK:200 )
在线值:
发帖
回帖
粉丝
2
中国大蒜是一款非常容易上手的二进制漏洞挖掘工具,适用于没有漏洞研究基础并且想做漏洞挖掘的相关人员使用。

 
中国大蒜的是一个用于二进制漏洞挖掘,特点是0基础化。
可自动识别文件格式,提高fuzz的效率和降低门槛,可配合peachfuzzer或漏洞挖掘工具的二次开发使用。
以往情况下用peachfuzzer需要手动开发pit脚本。IFFA可以全自动一键生成脚本。所以有了IFFA不需要看源码,不需要逆向,不需要看文档,
以往一个月的工作量现在几分钟完成,当IFFA发布时,仿佛一夜之间,以前高不可攀的二进制漏洞,现在仿佛任何人都可以挖掘。这就是IFFA的神秘之处。
使用例子:http://www.asm64.com/IFFA/teach001.pdf
详细说明:http://www.asm64.com/IFFA/VIP/IFFA_PPT_V1.pdf
试用地址:http://www.asm64.com/new/
2022-7-16 16:46
0
游客
登录 | 注册 方可回帖
返回
//