CI Fuzz CLI, l’outil d’interface utilisateur de ligne de commande (CLI) open source de Code Intelligence, permet désormais aux développeurs Java d’intégrer facilement le filtrage fuzz dans leur configuration JUnit existante pour découvrir les bogues fonctionnels et les vulnérabilités de sécurité à grande échelle .
CI Fuzz CLI, facilement disponible sur GitHub, exploite des algorithmes héréditaires et évolutifs et une instrumentation automatisée pour générer dynamiquement d’innombrables entrées inhabituelles afin de tester les applications Java pour des habitudes inattendues pouvant entraîner des plantages , DoS ou exploits zero-day.
Tests fuzz
Le filtrage fuzz, qui peut être considéré comme une technique complémentaire aux tests unitaires, gagne en popularité dans le domaine de l’open source. Le groupe Open-Source-Security (OSS) de Google a récemment signalé que plus de 40 500 bogues dans 650 tâches open source avaient été détectés grâce à des tests fuzz. Néanmoins, les tests fuzz restent nouveaux pour de nombreux développeurs en dehors de la communauté OSS et de la sécurité.
Une étude récente parmi les développeurs Go suggère que moins de 12 % de tous les participants utilisent les tests fuzz au travail, mentionnant une absence de compréhension ainsi que les obstacles à la mise en œuvre comme facteurs cruciaux pour une faible adoption.
Les développeurs Java peuvent améliorer la sécurité de leurs applications
Le nouvel outil open source de Code Intelligence vise à relever ces défis en rendant le filtrage fuzz disponible et fonctionnel pour tous les développeurs directement depuis leur ligne de commande ou leur IDE. En introduisant de nouvelles fonctionnalités de fuzzing pour Java, CI Fuzz CLI permet des tests constants de sécurité des applications directement dans la procédure CI/CD. Ceci est particulièrement important pour les entreprises proposant des services et des produits basés sur le cloud qui souhaitent développer un pipeline DevSecOps mature.
« Avec la CLI Fuzz de CI, les concepteurs Java peuvent désormais améliorer la sécurité et la robustesse globales de leurs applications avec confiance et facilité. Il suffit de trois commandes pour établir et exécuter un test fuzz. L’outil comprend des combinaisons prêtes à l’emploi pour Maven, Gradle et Bazel. Avec une configuration JUnit en place, les développeurs peuvent même exécuter des tests fuzz directement depuis leur IDE « , a déclaré Werner Krahe, directeur de produit chez Code Intelligence.
« Si vous êtes entièrement nouveau dans le fuzzing, je vous recommande de commencer par une configuration de test simple. Utilisez vos évaluations système préexistantes comme modèle pour exécuter des tests de fuzz locaux sur de petites bibliothèques et utilitaires. Après un certain temps , vous pouvez aller plus loin et l’appliquer à des configurations de filtrage plus complexes. En fin de compte, le filtrage fuzz offrira les meilleurs résultats lors d’une exécution continue dans votre CI/CD », a conclu Krahe.
« Code Intelligence assiste les développeurs expédier une application logicielle sécurisée en offrant les combinaisons nécessaires pour évaluer leur code à chaque demande d’extraction, sans jamais avoir besoin de quitter leur environnement préféré. C’est comme avoir un expert en sécurité automatisé toujours à portée de main », a déclaré Thomas Dohmke, PDG de GitHub.
Toute l’actualité en temps réel, est sur L’Entrepreneur
