Linus Torvalds 說針對性的模糊測試正提升 Linux 安全性
隨著宣布推出 Linux 內核 4.14 的第五個候選版本,Linus Torvalds 表示 模糊測試 正產生一系列穩定的安全更新。
模糊測試通過產生隨機代碼來引發錯誤來對系統進行壓力測試,從而有助於識別潛在的安全漏洞。模糊測試可以幫助軟體開發人員在向用戶發布軟體之前捕獲錯誤。
Google 使用各種模糊測試工具來查找它及其它供應商軟體中的錯誤。微軟推出了 Project Springfield 模糊測試服務,它能讓企業客戶測試自己的軟體。
正如 Torvalds 指出的那樣,Linux 內核開發人員從一開始就一直在使用模糊測試流程,例如 1991 年發布的工具 「crashme」,它在近 20 年後被 Google 安全研究員 Tavis Ormandy 用來測試在虛擬機中處理不受信任的數據時,宿主機是否受到良好保護。
Torvalds 說:「另外值得一提的是人們做了多少隨機化模糊測試,而且這正在發現東西。」
「我們一直在做模糊測試(誰還記得只是生成隨機代碼,並跳轉過去的老 「crashme」 程序?我們過去很早就這樣做),人們在驅動子系統等方面做了一些很好的針對性模糊測試,而且已經有了各種各樣的修復(不僅僅是上周的這些)。很高興可以看到。」
Torvalds 提到,到目前為止,4.14 的發展「比預想的要麻煩一些」,但現在已經好了,並且在這個版本已經跑通了一些針對 x86 系統以及 AMD 晶元系統的修復。還有幾個驅動程序、核心內核組件和工具的更新。
如前所述,Linux 4.14 是 2017 年的長期穩定版本,迄今為止,它引入了核心內存管理功能、設備驅動程序更新以及文檔、架構、文件系統、網路和工具的修改。
via: http://www.zdnet.com/article/linus-torvalds-says-targeted-fuzzing-is-improving-linux-security/
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive