| 資安新聞 |
GitLab 13.3開始提供模糊測試,可發現Go和C/C++應用程式臭蟲
刊登日期:2020-08-31
資料來源:iThome
| GitLab近期併購Peach Tech和Fuzzit兩間模糊測試公司,現在於GitLab最新版本添加併購而來的技術,方便用戶在開發流程導入模糊測試 程式碼託管平臺GitLab釋出最新13.3版本,這個版本的最大亮點在於使開發者能夠在開發工作流程中,更簡單地對軟體進行安全性測試,不只導入覆蓋率指引模糊測試(Coverage-Guided Fuzz Testing),還讓用戶按需執行動態應用程式安全性測試 (Dynamic Application Security Testing,DAST),另外,在GitLab 13.3中,用戶也能更全面監控Kubernetes Pod的狀態,儀表板現在會呈現所有Pod原始健康狀態。 GitLab 13.3是第一個導入模糊測試的版本,用戶可以開始對Go和C/C++應用程式執行模糊測試,官方提到,模糊測試能夠發現其他安全掃描程式,或是傳統QA遺漏的安全性問題和臭蟲,因為模糊測試使用應用程式相關的上下文資訊,隨機產生輸入,藉此嘗試觸發程式崩潰或是錯誤,讓問題真正影響用戶之前,可以先被發現並修復。 模糊測試新功能來自於GitLab近期收購的兩間模糊測試公司Peach Tech和Fuzzit,而模糊測試的主要方法有兩種,分別是覆蓋率指引模糊測試,另一種則是行為模糊測試,GitLab 13.3加入的是覆蓋率指引模糊測試,是利用應用程式的原始碼和測試版本,在程式執行過程或是動態地執行新測試,以觀察應用程式各部分的表現,藉此找出臭蟲。 官方提到,過去模糊測試不只困難也很難獲得有效的結果,但GitLab將Peach Tech和Fuzzit模糊測試技術,加入到現有的GitLab工作流程,可讓用戶方便地對Go和C/C++應用程式執行測試,儘早發現漏洞。 在這個版本,所有用戶都可以免費使用靜態應用程式安全性測試(Static Application Security Testing,SAST)功能,同時,ULTIMATE/GOLD等級的使用者,現在可以按需執行DAST安全性測試。GitLab的DAST整合到了DevOps工作管線中,在特定步驟便會觸發掃描,但官方提到,在沒有程式碼變更或是創建合併請求的情況下,有時候用戶也有對已部署應用程式執行DAST掃描的需求,因此現在不需要由程式碼更改等事件觸發,用戶就能夠按需進行掃描,這版本GitLab UI提供掃描配置選項,在掃描時不會對程式效能或是安全性造成影響。 而在GitLab 13.3中,用戶可以在Pod執行狀況指標儀表板中,簡單地查看Kubernetes Pod的狀態,官方提到,無論用戶使用託管的Prometheus執行個體,或是在自有的叢集中執行Prometheus執行個體,只要連接到了GitLab,就能從內建儀表板查看CPU、記憶體和網路等重要指標。 |
