|
|
關于漏洞發現者的真相:他們根本沒用.遠程控制軟件,灰鴿子下載
![]()
在測試中��,他們錯過了研究人員代碼中的百分之98的漏洞
當今流行的錯誤發現者只捕獲有關漏洞潛伏在軟件代碼百分之二���,研究人員發現,盡管有數百萬美元的公司每年花在他們�����。
錯誤發現者是常用的軟件工程師來根除問題的代碼��,可以變成漏洞��。
他們通常會報告他們發現了多少個錯誤-你不知道的是多少人錯過了,留下成功率一個開放的謎��。
所以��,在紐約大學的該學院與麻省理工學院林肯實驗室與東北大學合作的工程技術人員決定找出他們有多少思念�����。
熔巖,或大型自動化的脆弱性此外��,是一種技術��,由研究人員創建的測試的限制�����,尋找錯誤的工具���,以幫助開發人員提高他們���。它通過故意增加一個程序的源代碼的漏洞���。
“評價一個錯誤查找的唯一辦法是控制程序中的一些錯誤���,這正是我們做的熔巖�����,”布蘭登多蘭Gavitt��,助理教授計算機科學和工程在NYU Tandon�����。
該系統插入已知數量的新的漏洞,是合成的���,但擁有許多相同的屬性,在野外的計算機錯誤��。它是自動化的��,所以它避免了人工��,自定義設計的漏洞的成本。
相反���,熔巖作了有針對性的編輯房程序源代碼創建成千上萬的自然數百,高度逼真的漏洞���,跨越程序的執行的一生��,是嵌入在正�����?刂屏骱蛿祿鳎⒈憩F為投入的一小部分,以避免關閉整個程序。
與現有的bug的發現軟件代表的“模糊”的符號執行方法目前常用的測試時�����,只有百分之二的由熔巖的錯誤被檢測到�����。這個夏天���,球隊計劃推出允許開發者和其他研究人員要求一個熔巖竊聽軟件版本開放競爭�����,試圖尋找漏洞,并收到一個分數基于其準確性�����。
“從來沒有在這個地區在這一規模的性能基準�����,現在我們有一個���,”多蘭Gavitt說���!伴_發人員可以競爭誰擁有最高的成功率在錯誤發現的吹牛的權利,和程序���,將出來的過程中可能會更強���!
詳細介紹該研究最近發表在了對安全和隱私的IEEE研討會并發表在會議論文集。
|
|
加載中...
發表于 2016-7-9 02:33:59
QQ好友和群
收藏