EFFIZIENT ENTWANZT
Schafft modernes Fuzzing bewährte Testmethoden ab?
Je früher im Entwicklungsprozess man eine Schwachstelle findet, desto einfacher lässt sie sich beheben. Immer mehr Entwickler setzen auf automatisiertes Fuzz Testing, um Probleme und Gefahren zu erkennen, bevor die Software in den produktiven Einsatz geht. Fuzz Testing beruht darauf, die zu testende Applikation mit zufällig generierten Testeingaben auszuführen 1. Einige davon wird die Anwendung verarbeiten, andere abweisen. In manchen Fällen führen die Eingaben jedoch zu für den Entwickler aufschlussreichen Fehlern.
Mit kaum einem anderen Testverfahren lassen sich so viele Bugs aufspüren wie mit Fuzzing. Tech-Riesen wie Google haben das Potenzial von Feedback-basiertem tem Fuzzing bereits früh erkannt. Allein im Chrome Browser fand Google schon mehr als 29 000 Bugs mit Fuzzing und stöberte weitere 30 000 in anderen Open-Source-Anwendungen auf. Microsoft identifizierte mit Fuzzing über 1800 Schwachstellen in Microsoft Office, internationale Forscher förderten damit schließlich 1000 Bugs im LinuxKernel zutage.
Inzwischen gilt Fuzzing als massentauglich, immer mehr Entwicklerteams nehmen es in ihr Testing-Repertoire auf. Im Vergleich mit anderen Sicherheitsmaßnahmen wie der statischen Codeanalyse erzielt Fuzzing mit wenig Aufwand deutlich zuverlässigere Testergebnisse, ohne lästige False Positives. Zudem setzen immer mehr Industriestandards Fuzzing voraus.
Sie lesen eine Vorschau, starten Sie ein Abonnement, um mehr zu lesen.
Starten Sie Ihre kostenlosen 30 Tage