对于已知的缺陷和已知的漏洞,现在很多企业一般采用静态分析安全测试(SAST)和软件组成分析(SCA)工具来检测。
但是,静态分析依赖于已知漏洞库,无法发现未知缺陷;误报率高,需要对比查找,人工核实是否需要修复;主要关注信息安全问题,比较少关注软件可靠性缺陷。而SCA同样以来数据库,并且就还有支持组件的数量和检测算法、应用程序引用开源软件的方式等影响分析准确性的因素,很难做到扫描效率和准确性的兼顾。
针对软件缺陷的测试方式各有优劣,并不足以确保软件的安全性和稳定性。在已知缺陷挖掘方面,需要误报率低、自动化程度高、同时关注软件可靠性缺陷的测试方法;在未知缺陷的挖掘上,则需要更高效、更智能、更自动化的工具。而智能模糊测试就是这样一个工具。
根据安般科技对智能模糊测试的研究,认为其作为非常具有创新性的测试技术,可以有效弥补当前测试工具不足。
智能模糊测试是一种强大的自动化软件测试方法,一旦模糊测试程序被设置好,就可以在没有输入的情况下继续寻找漏洞;而且模糊测试是动态测试技术,查找到的缺陷几乎没有误报;并且模糊测试能够发现其他软件测试技术无法找到的漏洞(特别适合用于挖掘0day漏洞),而且特别擅长发现程序崩溃、竞争死锁、断言失败、资源泄漏/短缺等引起系统运行异常的缺陷,加之其简单高效的特点,已经成为挖掘引起系统运行异常的缺陷、未知漏洞的利器。
近年来,国内涌现了不少模糊测试方向的创业公司,如安般科技。安般科技入局商业化智能模糊测试较早,落地经验丰富,技术实力相较于国外厂商也有很大优势。
随着信息技术的飞速发展,软件已经成为信息化社会不可或缺的基础设施,高效地构建和运用高质量软件系统的能力成为国家和社会发展的一种核心竞争力。针对软件缺陷的测试方法和测试工具很多,安般科技认为,模糊测试以其得天独厚的优势,在软件测试中发挥的作用不容忽视。