AWS近日表示將開源兩個項(xiàng)目，一個項(xiàng)目是用于查找軟件漏洞的新模糊測試工具，另一個是用于控制應(yīng)用訪問的授權(quán)策略語言。

AWS是在Linux基金會年度開源峰會上公布這些新工具的，這些工具都以安全為重點(diǎn)。AWS公司表示，就SnapChange而言，這是一種新的模糊測試工具，讓開發(fā)人員和研究人員能夠試驗(yàn)“快照模糊測試”。

模糊測試是一種用于發(fā)現(xiàn)軟件（尤其是開源項(xiàng)目）中安全問題的技術(shù)，可以監(jiān)視系統(tǒng)在處理隨機(jī)數(shù)據(jù)時的行為方式，例如可能涉及為呈現(xiàn)圖像的應(yīng)用更改樣本JPEG文件，然后在該應(yīng)用中打開該文件。如果應(yīng)用崩潰，則可能是存在應(yīng)用安全問題。

AWS公司開源戰(zhàn)略和營銷總監(jiān)David Nalley表示，SnapChange建立在這個概念之上，讓目標(biāo)應(yīng)用能夠通過最少量的修改進(jìn)行模糊測試。他說，模糊測試工具在行業(yè)中得到廣泛使用，“近年來幫助根除了數(shù)百個安全漏洞”。

Nalley解釋說，SnapChange不是唯一的模糊測試工具，但它的獨(dú)特之處在于，它不需要用戶重寫底層Linux內(nèi)核或者使用修改后的基于內(nèi)核的虛擬機(jī)。相反，它可以與現(xiàn)有Linux內(nèi)核和現(xiàn)有KVM協(xié)同工作，從而降低研究門檻，同時也擴(kuò)展到數(shù)十個處理器核心。他說：“SnapChange將使模糊測試更高效?！?/p>

據(jù)他說，他們最初并沒有打算把SnapChange作為一個獨(dú)立的項(xiàng)目。它是由AWS的Find & Fix（F2）威脅搜尋研究團(tuán)隊(duì)開發(fā)的，該團(tuán)隊(duì)的任務(wù)是不僅要查找漏洞，還要嘗試修補(bǔ)這些漏洞。他說：“該團(tuán)隊(duì)必須開發(fā)大量工具來進(jìn)行大規(guī)模的安全研究，該工具就是其中之一?！?/p>

盡管AWS計劃通過增加新特性和功能支持SnapChange，但Nalley表示，AWS希望與研究群體展開合作，從長遠(yuǎn)來看打造一個更強(qiáng)大的工具。他說：“AWS在開源供應(yīng)鏈安全方面擁有既得利益，我們在開源方面有著共同的命運(yùn)?！?/p>

此次發(fā)布的第二個工具是Cedar，這是Amazon Verified Permissions和AWS Verified Access托管服務(wù)使用的授權(quán)策略語言。

Cedar既是一種開源語言，也是一種軟件開發(fā)工具包，可用于編寫和實(shí)施應(yīng)用的授權(quán)策略。開發(fā)人員使用Cedar可以對照片共享應(yīng)用中的圖像、微服務(wù)集群中的計算節(jié)點(diǎn)、或者工作流自動化平臺中的組件等資源進(jìn)行訪問控制。它的靈活性讓開發(fā)人員能夠?qū)⒓?xì)粒度的權(quán)限指定為Cedar策略，并通過調(diào)用Cedar SDK的授權(quán)引擎來授權(quán)訪問請求。

Nalley說，Cedar的策略語言是圍繞使用基于數(shù)學(xué)證明的“自動推理”概念編寫的。自動推理超越了測試驅(qū)動的開發(fā)范疇，利用數(shù)學(xué)來確保策略實(shí)際上是按照開發(fā)人員要求進(jìn)行。 根據(jù)Nalley的說法，如果盡可能實(shí)現(xiàn)自動化，則更容易確保策略和限制的正確性。他解釋說：“你可以使用已經(jīng)存在的數(shù)學(xué)證明，來證明一個程序?qū)⒁蕴囟ǖ姆绞焦ぷ??！?/p>

盡管Cedar不能通過數(shù)學(xué)證明對所有事情實(shí)施自動化，但它是很有用的，因?yàn)樗岄_發(fā)人員可以專注于僅測試策略不起作用的那些邊緣情況。

Nalley說，AWS開源Cedar主要是為了透明性，這樣開發(fā)人員就可以看到它是按預(yù)期工作的?！拔覀兿Ｍ蛻粝嘈臗edar能夠按預(yù)期工作，我們希望人們用它，去拆解它?！?/p>