female developer programmer devops next generation it staff

Perusahaan alat Fuzzing meluncurkan inisiatif perangkat lunak sumber terbuka yang aman

ForAllSecure, pembuat solusi fuzzing generasi berikutnya yang disebut Mayhem, mengumumkan program $ 2 juta pada hari Rabu yang bertujuan untuk membuat perangkat lunak sumber terbuka (OSS) lebih aman. Perusahaan ini menawarkan kepada pengembang salinan Mayhem free of charge dan akan membayar mereka $1.000 jika mereka mengintegrasikan perangkat lunak ke dalam proyek OSS GitHub yang memenuhi syarat.

“Kami sedang dalam misi untuk secara otomatis menemukan dan memperbaiki bug yang dapat dieksploitasi di dunia sebelum penyerang berhasil,” David Brumley, CEO dan salah satu pendiri ForAllSecure, mengatakan dalam sebuah pernyataan.

“Pengembang OSS membutuhkan bantuan dan tidak memiliki akses ke alat yang mereka butuhkan untuk menemukan kerentanan dengan cepat dan mudah,” lanjut Brumley. “Kita Pahlawan Kekacauan program mendemokratisasikan pengujian keamanan perangkat lunak, akan membuat puluhan ribu proyek OSS lebih aman, dan pada akhirnya berdampak pada keamanan sistem yang digunakan oleh semua orang di seluruh dunia.”

Menurut ForAllSecure, Mayhem berfokus pada produktivitas pengembang dengan menghilangkan kesalahan positif yang ditemukan dalam solusi pengujian keamanan lainnya, meningkatkan pengujian untuk keandalan, dan mencegah regresi keamanan.

Menemukan kerentanan sumber terbuka baru sebelum penyerang

Algoritme yang dipatenkan Mayhem dipelopori di Carnegie Mellon College, dan perangkat lunaknya adalah pemenang DARPA Cyber ​​​​Grand Problem, yang diluncurkan pada tahun 2014 untuk menciptakan sistem pertahanan otomatis yang mampu mempertimbangkan kelemahan, merumuskan tambalan, dan menerapkannya di jaringan secara nyata. waktu. “Kami mencoba mengajari mesin untuk meretas,” Brumley menjelaskan dalam sebuah wawancara.

“Jika Anda melihat industrinya, ada banyak alat analisis statis di luar sana,” kata Brumley. “Analisis statis sudah ada sejak tahun 1970-an. Itu adalah alat keamanan aplikasi generasi pertama. Ini tidak bekerja seperti penyerang yang sebenarnya. Itu tidak menunjukkan kepada Anda bagaimana cara mengeksploitasi sistem. Itu hanya menyoroti sebaris kode yang merasa mencurigakan.”

Terlebih lagi, alat statis menemukan kerentanan yang diketahui. “Itu tidak cukup karena Anda selalu berada di belakang penyerang Anda,” kata Brumley. “Apa yang Mayhem lakukan adalah mencoba menemukan masalah baru sebelum penyerang menemukannya. Itu melakukan apa yang dilakukan oleh pen-tester manusia.”

Akankah manusia mengizinkan mesin untuk memperbaiki eksploitasi sumber terbuka?

Dengan diluncurkannya program Heroes, dua versi Mayhem—Mayhem for Code dan Mayhem for API—akan tersedia untuk pengembang secara free of charge untuk penggunaan pribadi.

Meskipun Mayhem dapat memperbaiki eksploitasi yang ditemukannya, ada beberapa penolakan untuk membiarkannya melakukannya. “Menggunakan manusia untuk menemukan eksploitasi adalah masalah, tetapi mereka ingin berada di lingkaran untuk perbaikan, bahkan jika mesin dapat memperbaikinya,” kata Brumley. “Akan menarik jika pasar mau menerima penyerahan kendali perbaikan ke mesin.”

Hak Cipta © 2022 IDG Communications, Inc.

Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts