随着防火墙、Intranet隔离等传统网络安全基础设施的不断迭代,网络空间的安全将变得更加深入,核心战场将从外部边界保护转向软件内部安全。也就是说,当纯外部网络系统的防御和防御充分完成后,软件内部的致命漏洞将成为整个安全过程的致命弱点,软件内部的漏洞挖掘将成为未来安全系统最关键的环节。那么,我们如何发现软件中的缺陷呢?传统的软件测试仍然是手工进行的,并且在一定程度上支持静态分析工具。随着软件规模的爆炸式增长,以及代码总量每年增加到111亿行,手动编写测试用例的方法远远不能满足行业对软件安全性和健壮性的要求。基于静态分析的代码审计工具使用漏洞规则进行模式匹配,仅检测已知漏洞,误报率高,对复杂逻辑的代码场景和未知缺陷无能为力。模糊测试是保证软件质量的一种有效的动态测试方法,但目前商业产品较少,开源模糊测试工具使用困难,适应性不强,需要大量的人力才能获得有效的测试结果。因此,迫切需要有效的商业模糊测试产品,以发现软件中的漏洞,满足软件安全性和鲁棒性的要求,大大提高软件质量。

2018年,安邦科技在以往程序分析技术积累的基础上,完成了模糊测试系统样机,并于2020年实现了国内首款模糊测试商用产品--一恒智能模糊测试系统的商业化。从那时起,艾凡科技通过其核心产品全面进入军工、Xintron、汽车等行业,并与众多行业标杆客户合作,在产品研发和测试阶段发现软件缺陷,保护企业软件质量。自动用例生成易恒智能模糊测试系统使用定制的编译器对程序进行插入桩,基于插入桩反馈智能自动生成测试用例覆盖各种路径场景,提高测试覆盖率。在引入简单的模糊测试系统后,研发团队需要大量的手工编写测试用例,无需构建硬件环境,取代了手工编写负面测试用例的工作。

智能模糊测试系统记录错误站点,支持缺陷在代码行的准确定位,并提供专业的修复建议,帮助研发团队快速修复缺陷,大大节省了人工调试时间。

操作简单,始终智能模糊测试系统支持完整的中文交互,操作界面简单整洁,操作过程简单易懂,易于培训使用。该系统支持Jenkins等开发工具的集成,帮助客户完成测试的左移,在开发环节发现代码中隐藏的漏洞风险,对接缺陷管理系统,实现全过程的自动闭环,大大缩短了软件开发和测试周期。在实际应用中,与传统方法相比,IHeng智能模糊测试系统有望将企业平均劳动力成本降低30%。

零日漏洞挖掘智能模糊测试系统不依赖于已知的漏洞库,在程序动态运行的过程中挖掘未知的漏洞,以纯粹自动化的方式发现其他测试工具难以发现的零日漏洞。它充分保证了软件的健壮性和安全性。

丰富的测试报告内容爱恒智能模糊测试系统只需点击一下就能导出测试报告,并清晰地显示项目细节,如测试时间、生成的用例数量、测量的问题等。它还提供了错误的详细信息,包括错误概述、错误类型、导致错误的代码行数、调用堆栈信息、建议修复和一些示例参考信息。丰富的测试报告可帮助满足GJB438B军用软件开发的一般要求。

智能模糊测试系统可以适应不同的使用场景,支持云服务和私有部署等多种方式,不断提高企业客户的软件质量。

同时,易恒智能模糊测试系统可以完全访问软件生命周期的所有过程。在开发阶段,与CI工具深度集成,基于软件概念和设计,可以通过全数字仿真构建与实际硬件一致的环境,解决开发过程中的代码调试问题。在测试阶段坚持“测试左移”的先进测试理念,在单元测试和模块集成层面采用智能模糊测试系统,为单元测试和集成测试提供强有力的负测试支持,消除产品在开发初期的缺陷和风险。在验证阶段,智能模糊测试与全数字仿真技术相结合,可以消除繁琐的硬件环境构建和验证操作,保证硬件环境的可靠性和稳定性,有效避免了验证过程中由于硬件环境问题而产生的错误结论和复杂的硬件故障排除工作。在维护阶段,智能模糊测试系统可以提供故障的准确位置和具体信息,快速再现故障现场,帮助开发人员高效、准确地修复故障和缺陷。目前,易恒智能模糊测试系统已经与多家行业标杆客户合作,并获得了良好的反馈,有效解决了国内企业软件质量方面的问题,为国内软件赋能。例如,一家初创公司通过EHeng系统在单元测试和集成测试层面进行模糊测试,通过动态执行方式发现导致程序崩溃的各种问题,并将EHeng集成到DevOps平台中,实现全自动化测试流程,不断提高测试覆盖率。模糊测试与静态分析相结合,保证了软件的质量,大大提高了软件的稳定性和市场竞争力。未来,一恒智能模糊测试系统将继续帮助企业提高开发效率,降低研发成本,提高软件质量,在软件开发、测试、验收等生命周期应用中。