关于漏洞发现者的真相:他们根本没用.远程控制软件,灰鸽子下载
关于漏洞发现者的真相:他们根本没用.远程控制软件,灰鸽子下载http://images.techhive.com/images/article/2016/04/mit-bug-finder-1-press-100656350-primary.idge.jpg
在测试中,他们错过了研究人员代码中的百分之98的漏洞
当今流行的错误发现者只捕获有关漏洞潜伏在软件代码百分之二,研究人员发现,尽管有数百万美元的公司每年花在他们。
错误发现者是常用的软件工程师来根除问题的代码,可以变成漏洞。
他们通常会报告他们发现了多少个错误-你不知道的是多少人错过了,留下成功率一个开放的谜。
所以,在纽约大学的该学院与麻省理工学院林肯实验室与东北大学合作的工程技术人员决定找出他们有多少思念。
熔岩,或大型自动化的脆弱性此外,是一种技术,由研究人员创建的测试的限制,寻找错误的工具,以帮助开发人员提高他们。它通过故意增加一个程序的源代码的漏洞。
“评价一个错误查找的唯一办法是控制程序中的一些错误,这正是我们做的熔岩,”布兰登多兰Gavitt,助理教授计算机科学和工程在NYU Tandon。
该系统插入已知数量的新的漏洞,是合成的,但拥有许多相同的属性,在野外的计算机错误。它是自动化的,所以它避免了人工,自定义设计的漏洞的成本。
相反,熔岩作了有针对性的编辑房程序源代码创建成千上万的自然数百,高度逼真的漏洞,跨越程序的执行的一生,是嵌入在正常控制流和数据流,并表现为投入的一小部分,以避免关闭整个程序。
与现有的bug的发现软件代表的“模糊”的符号执行方法目前常用的测试时,只有百分之二的由熔岩的错误被检测到。这个夏天,球队计划推出允许开发者和其他研究人员要求一个熔岩窃听软件版本开放竞争,试图寻找漏洞,并收到一个分数基于其准确性。
“从来没有在这个地区在这一规模的性能基准,现在我们有一个,”多兰Gavitt说。“开发人员可以竞争谁拥有最高的成功率在错误发现的吹牛的权利,和程序,将出来的过程中可能会更强。”
详细介绍该研究最近发表在了对安全和隐私的IEEE研讨会并发表在会议论文集。
页:
[1]