Microsoft ha anunciado la liberación de la herramienta para detectar y corregir errores que le ha servido para fortalecer Windows 10, Project OneFuzz.
Esta herramienta, capaz de detectar automáticamente vulnerabilidades de seguridad del software, ha sido usada por los de Redmond tanto para supervisar su sistema operativo estrella como para revisar otras creaciones como el navegador Microsoft Edge.
El movimiento supone que la compañía cumple su promesa de pasar del Microsoft Security Risk Detection a una utilidad equivalente y automatizada de código abierto, Project OneFuzz, hecha a principios de este año.
Project OneFuzz pasa inmediatamente a estar disponible en GitHub, según han comunicado, con lo que cualquier equipo de desarrollo puede comenzar a usarla en sus proyectos.
El fuzz testing que lleva a cabo esta herramienta consiste en la realización de pruebas de exploración de vulnerabilidades mediante datos aleatorios y, asegura Microsoft, es método muy eficaz para aumentar la seguridad y la fiabilidad del código nativo, siendo también el estándar de oro para encontrar y eliminar fallos de seguridad costosos y explotables.
"Tradicionalmente, el 'fuzz testing' ha sido un arma de doble filo para los desarrolladores: obligado por el ciclo de vida del desarrollo del software, altamente efectivas para encontrar fallos procesables, pero muy complicado de aprovechar, ejecutar y exprimir. Esa complejidad ha requerido equipos de ingeniería de seguridad dedicados a construir y operar 'fuzz testing', lo que lo hizo muy útil pero costoso. Permitir a los desarrolladores realizar estas labores cambia el descubrimiento de vulnerabilidades a una etapa anterior del ciclo de vida del desarrollo y, simultáneamente, libera a los equipos de ingeniería de seguridad para que realicen un trabajo proactivo".
Con solo una sola línea de código, la herramienta es capaz de iniciar este tipo de tareas en unas pocas máquinas virtuales o en miles de núcleos.
Comments