除了将VisualStudioCode的C++扩展升级至1.0版本外,今天微软还公布了一款全新的开源工具——ProjectOneFuzz。该工具是已退休的安全风险检测服务的继任者,是一个用于Azure的开源自托管开发人员模糊测试平台。 模糊测试本质上是通过严格的测试过程消除可利用的安全漏洞,包括用大量随机数据淹没相关程序。虽然非常有用,但它们通常实施起来也很复杂。OneFuzz项目试图通过利用开源LLVM编译器使模糊测试更容易和更可持续。 作为上述进步的结果,以前必须附加到持续构建系统的相关机制现在可以直接嵌入到系统中。例如,可以使用asan工具内置碰撞检测,而可以使用SanitizerCoverage(sancov)工具内置覆盖跟踪。展望未来,这些更改使单元测试二进制文件的开发能够将各种混淆技术内置到单个可执行文件中。 该测试框架已用于其他Microsoft服务和平台,包括MicrosoftEdge和Windows。现在,随着ProjectOneFuzz的可用性扩展到世界各地的开发人员,可以在GitHub上访问它。
