Microsoft maakt fuzzing tool beschikbaar als cloud dienst

Microsoft maakt een zogeheten ‘fuzzing’ tool beschikbaar als cloud dienst. Met deze dienst kunnen ontwikkelaars de veiligheid van hun applicaties en oplossingen controleren door deze te bestoken met een grote hoeveelheid willekeurige input.

De tool is door Microsoft intern ontwikkeld en heet ‘Project Springfield’. De dienst is bedoeld voor ‘fuzzing’, waarbij software bestookt met een grote hoeveelheid willekeurige input in de hoop softwarefouten tegen te komen. Deze fouten kunnen door kwaadwillenden worden uitgebuit, wat het vroegtijdig opsporen van de problemen van groot belang maakt.

Standaard fuzzing testen

Standaard fuzzing testen hebben echter hun beperkingen. Zo is het moeilijk diep in de code te duiken om hier fouten op te sporen. Een andere aanpak om softwarefouten op te sporen is ‘static code analyses’, wat ook wel ‘whiteboxing’ wordt genoemd. Hierbij wordt de broncode zonder deze uit te voeren nauwkeurig bekeken en stap voor stap doorgelopen op zoek naar problemen.

Project Springfield is bedoeld voor ‘whitebox fuzzing’, een combinatie van standaard fuzzing testen en ‘whiteboxing’. Hierbij wordt software eveneens bestookt met een grote hoeveelheid willekeurige input. Met behulp van machine learning analyseert de software de resultaten van deze test, waarna het nieuwe input genereert voor de volgende test. Door continu zijn testproces aan te passen op de bevindingen van vorige test kan Project Springfield diep in de broncode graven op zoek naar softwarefouten.

Windows binaries

Op dit moment is de tool uitsluitend geschikt voor Windows binaries. Aan ondersteuning voor Linux wordt echter gewerkt. Project Springfield is beperkt beschikbaar; Microsoft screent alle klanten die zich voor het project aanmelden.