Categories: DéveloppeursProjets

Project OneFuzz : tendance DevSecOps chez Microsoft

Ne dites plus « Security Risk Detection », mais « Project OneFuzz ».

L’un et l’autre service, signés Microsoft, permettent de tester la sécurité des applications. Le premier a fermé fin juin. Le second, tout juste publié, lui succède. Il se présente sous la forme d’un outil open source qui donne accès à un framework reposant sur Azure*.

Ce framework permet de mettre en œuvre la technique du fuzzing (injection de données aléatoires). Sa particularité par rapport à Security Risk Detection : il intègre la démarche aux pipelines CI/CD. Avec des outils comme ASan pour la détection des plantages ou libfuzzer pour la gestion des entrées.

Les équipes de Microsoft utilisent déjà le service pour le développement de Windows et d’Edge. Ils enclenchent leurs tests via une commande intégrée dans le système de build.

Project OneFuzz prend en charge les systèmes Windows et Linux (testé sur Windows 10 Pro et Ubuntu 18.04 x64). Il permet de mettre en place des flux de fuzzing composites et de mutualiser des fuzzers dans le cadre d’un même test. Parmi ses autres fonctionnalités : tri programmatique avec déduplication des résultats, débogage en direct et notification des rapports sur Azure DevOps Work Items ou Teams.

* Chaque instance OneFuzz exploite un groupe de ressources Azure.

Recent Posts

Voitures électriques : Huawei va-t-il se convertir en constructeur ?

L'agence de presse Reuters affirme que Huawei serait en passe de se lancer dans la…

21 minutes ago

Indice de réparabilité : comment s’en sortent iPhone et MacBook ?

En application de la loi AGEC, Apple affiche un « indice de réparabilité » pour…

3 heures ago

CentOS : après les devs, Red Hat tente de retenir les projets open source

Red Hat continue d'actionner des leviers pour pallier l'abandon de CentOS. Le dernier en date…

6 heures ago

Slack : un apport moins financier que fonctionnel pour Salesforce ?

Au-delà de son apport fonctionnel, quelle manne financière Slack peut-il représenter pour Salesforce ? Ce…

7 heures ago

Sécurité cloud : Sysdig porte eBPF probe auprès de la CNCF

Avec le module de noyau sysdig, eBPF probe, tous les composants de base de Falco,…

8 heures ago

5G : les enchères montent dans la course mondiale aux fréquences

Les opérateurs américains ont dépensé plus de 80 milliards de dollars pour 280 MHz de…

9 heures ago