Der Siegeszug von modernem Fuzzing
Unternehmen, die Software entwickeln, betreiben einen hohen monetären und zeitlichen Aufwand, um die Sicherheit und Stabilität ihrer Releases zu verbessern. Eine der oft empfohlenen Best Practices in der Software-Entwicklung ist, Bugs möglichst früh im Entwicklungsprozess zu beheben: Je früher Bugs im Software-Entwicklungsprozess gefunden werden, desto einfacher und exponentiell günstiger wird es, diese zu beheben (Rule of Ten).
Erst kürzlich hat sich modernes Fuzzing als die effektivste Testing-Methode in der Security-Community abgezeichnet. Das liegt an der tatsächlichen Ausführung der zu testenden Software, die den Vorteil bringt, dass fast keine False Positives produziert werden. Google nutzt Fuzzing fast durchgehend für automatisierte Tests ihrer Software: 2019 wurden mit Fuzzing mehr Fehler gefunden als mit jeder anderen Technologie. So wurden beispielsweise mit Clusterfuzz über 16.000 Bugs in Chrome und 11.000 Bugs in für Google wichtigen Open-Source-Projekten gefunden. Dies verdeutlicht nicht nur, dass Fuzzing eine sehr effektive Technik für das Finden von Softwarefehlern ist, sondern auch dessen enormen Automatisierungsgrad.
0 Kommentare