在為 Visual Studio Code 升級 C++ 擴(kuò)展至 1.0 版本之外，今天微軟還宣布了一款新的開源工具--Project OneFuzz。作為已經(jīng)退休的 Security Risk Detection Service 繼任者，該工具是面向 Azure 的開源自托管開發(fā)者模糊測試平臺。

[[342384]]

　　模糊測試本質(zhì)上是通過嚴(yán)格的測試過程來消除可利用的安全漏洞，包括用大量隨機(jī)數(shù)據(jù)淹沒相關(guān)程序。雖然相當(dāng)有用，但執(zhí)行起來往往也很復(fù)雜。Project OneFuzz 試圖利用開源的 LLVM 編譯器，從而讓模糊測試變得更容易、更可持續(xù)。

　　由于上述進(jìn)展，以前必須附加到持續(xù)構(gòu)建系統(tǒng)中的相關(guān)機(jī)制現(xiàn)在可以直接嵌入到系統(tǒng)中。例如，碰撞檢測可以通過 asan 工具內(nèi)置，而覆蓋率跟蹤可以使用 SanitizerCoverage（sancov）工具內(nèi)置。展望未來，這些變化使得單元測試二進(jìn)制文件的開發(fā)能夠在一個可執(zhí)行文件中內(nèi)置各種模糊技術(shù)。

　　該測試框架已經(jīng)被用于其他微軟服務(wù)和平臺，包括 Microsoft Edge 和 Windows?，F(xiàn)在，隨著 Project OneFuzz 的可用性擴(kuò)展到全世界的開發(fā)者，可以在 GitHub 上訪問這里。