聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
上周,美国国家标准技术研究所 (NIST) 宣布更新其研究工具集 ACTS(自动化软件组合测试),帮助复杂的安全关键应用程序开发人员找到潜在的危险错误,让软件更加安全。
ACTS 旨在帮助开发人员确保产品免受可触发危险错误的同步输入的组合。软件错误可对安全关键应用程序造成严重后果,如车辆、飞机和核工厂中出现的软件错误。
但在处理非常大型系统的情况下很难开展彻底的测试。而NIST 和得克萨斯大学阿灵顿分校、Adobe 和 SBA 研究所(奥地利信息安全研究中心)合作,开发出甚至能够测试具有数千个输入变量的软件。
他们的研究成果已通过对 CCM (组合涵盖度量)工具的更新集成到 ACTS 工具集中。这一改进将有助于开发人员在改进安全性的同时降低开发成本。NIST 表示,确保安全关键软件可靠性所花费的成本要比传统软件高7到20倍。
NIST 数学家 Raghu Kacker 表示,“在我们修订 CCM 之前,要完全测试数千个变量的软件较难。这一限制对于用于客运航线和核工厂中的复杂的现代软件而言就是一个问题,因为它不仅配置较高,而且还关乎生命安全。人们的生命和健康有赖于此。”
ACTS 工具集目前只能处理数百个输入变量,而 SBA 研究所开发的工具可最高测试2000个输入。NIST 表示这两个系统互为补充。虽然 SBA 算法尚未被公开加入 ACTS 工具集中,开发人员可向kuhn@nist.gov 发送邮件从 NIST 申请获取。
ACTS 使用手册见:
https://csrc.nist.gov/CSRC/media/Projects/Automated-Combinatorial-Testing-for-Software/documents/acts_user_guide_2_92.pdf
原文链接
https://www.securityweek.com/nist-tool-finds-errors-complex-safety-critical-software
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。