communauté Apprendre Bibliothèque d'outils Loisirs
recherche
Français
Maison > interface Web > js tutoriel > Comment les tests Fuzz ont permis à une entreprise de logiciels d'économiser des millions ?

Comment les tests Fuzz ont permis à une entreprise de logiciels d'économiser des millions ?

DDD
Libérer: 2024-12-25 10:32:13
original
473 Les gens l'ont consulté

How Fuzz Testing Saved A Software Company Millions?
Que se passerait-il si votre logiciel était confronté à une entrée imprévisible que personne n’a jamais pensé à tester ? Pourrait-il résister au défi ou échouer de manière catastrophique ? Les logiciels constituent l’épine dorsale de tous les secteurs, qu’il s’agisse des plateformes de commerce électronique ou du secteur financier. Pour que cela soit fiable, le logiciel doit être robuste, fiable et sécurisé pour fonctionner de manière absolument transparente. Cependant, rendre votre logiciel exempt de vulnérabilités qui pourraient entraîner des pannes catastrophiques ou des failles de sécurité constitue un défi crucial.

Considérez votre logiciel comme une forteresse. Ne voudriez-vous pas tester ses défenses contre toutes les attaques possibles ? C'est là qu'interviennent les tests fuzz. Explorons pourquoi vous en avez besoin pour maintenir un système logiciel fortement immunisé pour votre entreprise.

Qu'est-ce que le test Fuzz ?

Souvent appelé fuzzing, il s'agit essentiellement d'une technique de test logiciel que nous utilisons pour identifier les comportements inattendus, les bogues et les vulnérabilités d'un système. Cela implique d’envoyer à un programme des entrées aléatoires et inattendues pour voir comment il réagit. D'un autre côté, notre objectif est de découvrir les défauts qu'une certaine méthode de test traditionnelle pourrait manquer, principalement dans certains cas extrêmes.

Curieuse de savoir comment fonctionnent les tests de fuzz ? Décomposons-le en trois étapes simples afin que vous puissiez voir comment il détecte les vulnérabilités que d'autres pourraient manquer.

Comment fonctionne le fuzzing ?

Le processus de fuzzing comprend généralement un ensemble de 3 étapes :

  • Étape 1 : Génération d'entrée :

    Les Fuzzers sont des outils qui créent de nombreuses entrées aléatoires et inhabituelles pour tester un programme. Eh bien, ces entrées aident particulièrement à imiter les anomalies du monde réel.

  • Étape 2 : Exécution du programme : Le programme respectif que vous testez considère simplement toutes ces entrées comme réelles, simulant les cas du monde réel pour tester sa force et où il peut attaquer. .

  • Étape 3 : Surveillez les échecs : Les fuzzers (les outils de test de fuzz) surveillent la réponse du programme, à la recherche d'erreurs de programme telles que des plantages ou un comportement inattendu.

How Fuzz Testing Saved A Software Company Millions?

De plus, les Fuzzers peuvent ainsi fonctionner de différentes manières, telles que :

  • Fuzzing en boîte noire : Tests sans connaissance préalable de la structure interne et du comportement du programme.

  • Fuzzing en boîte blanche : Dans lequel les tests sont effectués avec toute la compréhension du programme en matière de logique et de code.

  • Fuzzing en boîte grise : Certainement une combinaison d'approches de boîte noire et de boîte blanche.

Tout sur les tests Fuzz : un changement de donne

La raison pour laquelle il s'agit d'un composant si important du fuzzing est capable d'exposer de nombreux bugs et vulnérabilités cachés que les tests manuels du modèle ou même les cas de test automatisés manqueraient.

Le test Fuzz peut exceller dans :

  • Trouver des cas extrêmes : ce type de test peut montrer quel serait le comportement d'un système dans des situations inhabituelles ou extrêmes.

  • Améliore la sécurité : le fuzzing est utilisé pour trouver de nombreuses vulnérabilités critiques, y compris les exploits du jour zéro.

  • Les fuzzers peuvent assurer la stabilité : le fuzzing révèle la corruption du processus.

Quand les bugs ont un prix : Shuqi d’une société de logiciels

How Fuzz Testing Saved A Software Company Millions?

Étude de cas 1 : Tests de fuzz chez Rubrik

Imaginez si votre système de sauvegarde tombait en panne silencieusement lors d'une urgence. Comment réagiraient vos clients ? Rubrik n'a pas laissé cela au hasard.

Rubrik Data Management Solution Provider L'entreprise possède des éléments de base avec lesquels elle avait auparavant du mal, notamment faire en sorte que ses systèmes supportent des situations imprévisibles telles que des charges de travail variables, des réseaux peu fiables et des API tierces boguées. Et tous ceux qui comportent des risques de bugs rares qui pourraient donc se retrouver en production.

Rubrik avait lui-même utilisé des entrées mal formées et inattendues pour tester ses systèmes de sauvegarde. Lorsqu'ils ont testé en vrai, ils ont découvert un gros problème, de rares problèmes dans la base de données qui endommageaient les données ou surchargeaient le système. Sans tests fuzz, des problèmes aussi subtils auraient pu atteindre silencieusement la production, nuisant ainsi aux opérations des clients en cas d'urgence. L'expérience de Rubrik montre comment les tests fuzz aident à identifier et à corriger les failles critiques au sein des organisations, garantissant la fiabilité des systèmes et satisfaisant les clients dans les périodes difficiles.

How Fuzz Testing Saved A Software Company Millions?

Étude de cas-2 : Les Pertes financières d'Ethereum

Et si un bug caché interrompait l'ensemble de vos opérations pendant des jours ? C’est le genre de risque auquel Ethereum est confronté – et les tests de fuzz auraient pu l’empêcher.

Ethereum pourrait être envisagé pour un autre exemple d'étude de cas, mais pour avoir manqué la technique du fuzzing, ruinant ainsi sa propre réputation. En novembre 2020, une grave faiblesse de déni de service (DoS) a été découverte dans le réseau Ethereum. Cette vulnérabilité était présente dans le code depuis plus d’un an et aurait pu entraîner la fermeture du réseau Ethereum si elle n’était pas découverte. Cette vulnérabilité était présente dans le code depuis plus d’un an et aurait pu entraîner l’arrêt de l’ensemble du réseau Ethereum si des entités malveillantes l’avaient exploitée.

La base de code a été auditée à plusieurs reprises par des auditeurs de sécurité internes ainsi que par des auditeurs externes embauchés.

  • Temps d'arrêt potentiel du réseau

  • Diminution de la valeur du jeton

  • Confiance des investisseurs

Prêt à commencer à protéger vos logiciels avec des tests fuzz ? Voici comment vous pouvez le mettre en œuvre étape par étape

Test Fuzz de Continental : le moment décisif pour la détection précoce des bogues critiques

How Fuzz Testing Saved A Software Company Millions?

Étude de cas 3 : Dépendance de Continental aux Fuzz Testing

Une autre étude de cas mérite d’être mentionnée. Il s’agit d’une société nommée Continental, un équipementier automobile de premier plan, qui a accepté et adopté la technique du fuzzing. Continental a déjà intégré des outils et des techniques de tests de fuzz dans son processus de développement pour relever les défis des systèmes embarqués dans le secteur automobile.

Comme les fuzz étaient désormais utilisés pour donner de la robustesse aux applications AUTOSAR, ce qui est essentiel pour les systèmes de sécurité automobile (AUTomotive Open System ARchitecture).

Tout le monde serait un grand fan de la méthode de fuzzing software-in-the-loop de Continental, qu'ils utilisent pour tester de telles applications. Ils peuvent ainsi exécuter des tests entièrement à partir de leur propre logiciel, indépendamment de tout matériel spécial. Une telle méthode accélère toute phase de test donnée et permet à l'entreprise d'identifier les vulnérabilités dès le début du cycle de développement. Quoi de mieux que ça ?

En résumé, ce cas montre comment l'adoption des tests fuzz peut aider les entreprises des secteurs dotés de normes de sécurité rigides, par exemple : l'automobile, à détecter les vulnérabilités plus tôt, à rationaliser le processus de développement et, ainsi, à garantir la fiabilité des systèmes logiciels critiques.

Tests de fuzz en action

Cette partie pourrait être très importante pour comprendre tous les exemples majeurs afin de comprendre les susceptibilités et les expositions trouvées lors des actions de tests de fuzz.

Les tests Fuzz sont une méthode efficace pour exposer des vulnérabilités qui ne seraient pas détectées par des techniques normales. Voici quelques exemples de vulnérabilités découvertes grâce aux tests fuzz et les risques importants qu'elles auraient pu présenter pour les entreprises.

Exemples de vulnérabilités découvertes :

  1. Débordement de tampon de la passerelle de paiement : Dans l'un des cas les plus courants, le fuzzing a révélé une faille qui provoque l'échec du système lorsqu'il traite trop de données dans une passerelle de paiement en ligne. Ainsi, le système n'a pas traité correctement les entrées spécifiquement créées, et certaines de ces entrées, lorsqu'elles sont envoyées au système, permettraient aux attaquants de coder, de planter ou même d'exécuter du code malveillant en mémoire.

    Cette faille, si elle n'était pas détectée, aurait pu conduire à des transactions financières non autorisées et compromettre les données sensibles des utilisateurs.

  2. Injection SQL dans une application Web : Les pirates pourraient utiliser cette faille pour accéder aux données sensibles des clients telles que les mots de passe et les détails de paiement. Une telle attaque pourrait entraîner des violations de données et des violations de conformité (telles que des amendes RGPD).

Pertes financières potentielles

La capacité des tests Fuzz à identifier de telles vulnérabilités avant qu’elles n’atteignent la production est inestimable. En découvrant les problèmes dès le début du développement, les tests fuzz contribuent à atténuer les dommages financiers et de réputation qui peuvent résulter de failles de sécurité non détectées.

  1. Réputation endommagée et érosion de la confiance des clients : Une exploitation réussie de ces vulnérabilités aurait entraîné des pertes financières immédiates. Les dommages à la réputation auraient probablement été graves. Ainsi, par exemple, avec la vulnérabilité de la passerelle de paiement que vous avez mentionnée, la simple nouvelle d’une violation aurait pu entraîner une perte très importante de la confiance des consommateurs. Les clients auraient probablement complètement déserté la plateforme, provoquant une énorme perte de revenus.

  2. Frais juridiques et de conformité : Le cas de l'injection SQL aurait des implications juridiques pour l'entreprise. Une violation ayant exposé les données sensibles des clients aurait pu entraîner des poursuites judiciaires, des amendes réglementaires et des mises à niveau de sécurité nécessaires, ce qui aurait ajouté des coûts substantiels. En plus des coûts initiaux liés à la gestion de la violation, l'entreprise aurait dû offrir une compensation

Leçons apprises

  1. Détection précoce des bogues critiques : L'une des leçons les plus importantes tirées de l'adoption des tests fuzz est la capacité de découvrir des vulnérabilités critiques qui étaient auparavant passées inaperçues. Dans de nombreux cas, les méthodes de test traditionnelles, telles que les tests unitaires ou les tests d'intégration, les cas extrêmes manqués ou les scénarios d'entrée imprévisibles que les tests fuzz pourraient facilement identifier. Par exemple, dans le cas des logiciels automobiles (comme chez Continental), les tests de fuzz ont révélé des failles dans leurs systèmes embarqués qui auraient pu avoir des conséquences désastreuses dans des conditions de conduite réelles.

  2. Sécurité rentable : Les tests Fuzz se sont révélés être une approche très rentable en matière de sécurité. En découvrant les problèmes dès le début du cycle de développement, les entreprises ont économisé des sommes substantielles en termes de coûts de remédiation et de perte de revenus du fait d'incidents de sécurité potentiels. De plus, les tests Fuzz sont souvent automatisés, ce qui réduit le travail manuel, accélère le développement et permet d'économiser de l'argent.

  3. L'importance des tests continus : Un autre point clé à retenir a été la prise de conscience que les tests fuzz ne sont pas une tâche ponctuelle, mais un processus continu. À mesure que les logiciels évoluent, de nouvelles vulnérabilités peuvent apparaître et les tests fuzz doivent être continuellement intégrés au pipeline CI/CD pour garantir que les dernières mises à jour du code n'introduisent pas de nouvelles failles. L'automatisation des tests fuzz permet de les exécuter fréquemment sans ralentir le flux de travail de développement.

Comment les organisations peuvent mettre en œuvre efficacement les tests Fuzz

  1. Commencez petit, évoluez progressivement : Pour les organisations qui commencent tout juste à adopter les tests fuzz, il est conseillé de commencer avec des composants plus petits et critiques de leur logiciel. Les tests Fuzz peuvent nécessiter beaucoup de calculs, il est donc essentiel de se concentrer d'abord sur les parties les plus vulnérables du système. Par exemple, tester les API, les formulaires Web et les interfaces réseau peut révéler des vulnérabilités courantes telles que les débordements de tampon ou les injections SQL.

  2. Exploitez les bons outils : Des outils tels que AFL (American Fuzzy Lop), LibFuzzer et Radamsa sont largement utilisé pour les tests de fuzz. Le choix du bon outil dépend du type d'application (par exemple, application Web, API, système embarqué) et du niveau d'intégration requis avec l'environnement de développement. Certains outils offrent des fonctionnalités avancées telles que le fuzzing basé sur les commentaires, qui permet de prioriser les entrées les plus susceptibles de découvrir des vulnérabilités en fonction de la couverture du code.

  3. Intégrer les tests fuzz dans les pipelines CI/CD : Pour maximiser les avantages des tests fuzz, ils doivent être intégrés dans le pipeline d'intégration continue/déploiement continu (CI/CD). Cela garantit que des tests fuzz sont effectués régulièrement à chaque nouvelle poussée ou construction de code, ce qui en fait une partie continue du cycle de développement. Il permet également aux équipes de détecter les vulnérabilités dès leur apparition et avant qu'elles n'atteignent la production.

  4. Concentrez-vous sur la formation et la collaboration : Il est également crucial d'investir dans la formation des développeurs concernant les tests de fuzz. Les développeurs doivent être formés pour comprendre comment fonctionnent les tests fuzz, quels types de vulnérabilités ils peuvent découvrir et comment utiliser efficacement les outils. La collaboration entre les équipes de développement et de sécurité garantira que les tests de fuzz sont correctement mis en œuvre et que tout problème est rapidement résolu.

  5. Analyser et répondre aux résultats : Enfin, les organisations doivent disposer d'un processus clair pour analyser les résultats des tests de fuzz. Cela inclut l'examen des problèmes identifiés, la détermination de leur gravité et la priorisation rapide des correctifs. Les tests fuzz peuvent générer de nombreux résultats. Il est donc essentiel de disposer d'un système en place pour trier et répondre aux résultats afin de maintenir à la fois la sécurité et l'efficacité du développement.

En suivant ces leçons et en mettant en œuvre systématiquement des tests fuzz, les entreprises peuvent créer des logiciels plus sécurisés et plus fiables, empêchant ainsi les vulnérabilités de se glisser en production et, en fin de compte, protégeant leur réputation et leurs finances.

Conclusion

En fin de compte, les études de cas montrent pourquoi les tests fuzz sont essentiels pour protéger les logiciels, la réputation et les revenus. Alors, votre logiciel est-il vraiment sécurisé ? Ne laissez pas cela au hasard : adoptez les tests de fuzz pour protéger votre réputation, vos clients et vos résultats.

FAQ

Qu'est-ce que le test Fuzz et pourquoi est-il important ?

Le test Fuzz, ou fuzzing, est une technique de test logiciel utilisée pour découvrir les bogues et les vulnérabilités en envoyant des entrées aléatoires et inattendues à un programme pour voir comment il réagit. C'est important car il identifie les problèmes cachés tels que les failles de sécurité, les plantages ou les goulots d'étranglement des performances, que les méthodes de test traditionnelles négligent souvent. En détectant ces problèmes à un stade précoce, les tests fuzz garantissent que les logiciels sont sécurisés, fiables et robustes, réduisant ainsi le risque de pannes ou de violations en production.

Comment fonctionnent les tests Fuzz ?

Les tests Fuzz suivent généralement trois étapes :

  1. Génération d'entrée : Des outils appelés fuzzers créent de grands volumes d'entrées aléatoires ou inhabituelles pour simuler des anomalies du monde réel.

  2. Exécution du programme : Le logiciel testé s'exécute avec ces entrées comme si elles étaient réelles, aidant ainsi à imiter des scénarios du monde réel.

  3. Surveillance des échecs : Le fuzzer observe la façon dont le programme réagit, à la recherche de plantages, d'erreurs ou d'autres comportements inattendus.

    Ce processus permet d'exposer les vulnérabilités et garantit que le logiciel est testé dans des conditions extrêmes ou inattendues.

Quels sont les avantages des tests Fuzz par rapport aux autres méthodes de test ?

Les tests Fuzz offrent plusieurs avantages uniques :

  • Identifie les cas extrêmes : Il révèle des problèmes rares et difficiles à prévoir que d'autres méthodes pourraient manquer.

  • Améliore la sécurité : En exposant des vulnérabilités telles que les exploits du jour zéro, les tests fuzz rendent les logiciels plus sûrs.

  • Améliore la stabilité : Il teste le logiciel dans des conditions inhabituelles, garantissant qu'il peut gérer des entrées inattendues sans planter.

    Contrairement aux tests traditionnels, qui se concentrent souvent sur les cas d'utilisation attendus, les tests fuzz explorent les vulnérabilités inconnues, ce qui en fait un outil essentiel pour le développement de logiciels robustes et sécurisés.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

source:dev.to
Article précédent:Comment puis-je supprimer les balises HTML du texte en utilisant uniquement du JavaScript simple ? Article suivant:Comment supprimer une propriété d’un objet JavaScript ?
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Derniers articles par auteur
Derniers numéros
function_exists() ne peut pas déterminer la fonction personnalisée Function test () {return true;} if (function_exists ('test')) {echo "le test est une ...
Depuis 2024-04-29 11:01:01
0
3
2319
Comment afficher la version mobile de Google Chrome Bonjour professeur, comment puis-je changer Google Chrome en version mobile ?
Depuis 2024-04-23 00:22:19
0
11
2454
La fenêtre enfant exploite la fenêtre parent, mais la sortie ne répond pas. Les deux premières phrases sont exécutables, mais la dernière ne peut pas être implémentée...
Depuis 2024-04-19 15:37:47
0
1
2071
Il n'y a aucune sortie dans la fenêtre parent document.onclick = function(){ window.opener.document.write('Je suis la sortie de la fenêt...
Depuis 2024-04-18 23:52:34
0
1
1956
Où sont les didacticiels sur la cartographie mentale CSS ? Didacticiel
Depuis 2024-04-16 10:10:18
0
0
2024
Rubriques connexes
Plus>
Recommandations populaires
Tutoriels populaires
Plus>
Tutoriels associés
Recommandations populaires
Derniers cours
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal