Automatisierte Sicherheitstests sind für die moderne Softwareentwicklung unverzichtbar. Der schiere Umfang der Digitalisierung und die Komplexit?t des Codes vermehren die potenziellen Angriffsvektoren betr?chtlich, so dass manuelle Sicherheitstests oder Audits nicht mehr ausreichend sind. Fuzzing, eine dynamische Softwaretesttechnik, die von Miller et al. entwickelt wurde, hat sich bei der Fehlersuche als ?u?erst nützlich erwiesen. Allein im Chrome-Browser wurden von Googles Open-Source-Fuzzing-Infrastruktur ClusterFuzz über 25.000 Fehler und weitere etwa 22.500 Fehler in über 340 Open-Source-Projekten gefunden. Ein Fuzzing-Tool (oder Fuzzer) generiert Testf?lle mit zuf?lligen und sich ver?ndernden Strategien, die als Eingabe für eine zu testende Software dienen und sich dadurch auszeichnen, dass sie die Sonderf?lle der Softwarenutzung abdecken. W?hrend des Fuzzings wird die ausgeführte Software z.B. auf Abstürze oder Nichtterminierung überwacht, die auf einen ausgel?sten Fehler hindeuten.
In der Vorlesung ?Secure Coding“ des Masterstudiengangs ?Angewandte Informatik“ besch?ftigen sich die 球探比分网den theoretisch und praktisch mit automatisierten Sicherheitstests. Dr. Christopher Huth, aus dem Forschungsbereich der Robert Bosch GmbH beteiligt sich an der Vorlesung mit einem Tutorial über Fuzzing. In dem Tutorial wird gezeigt, was Fuzzing ist und wie die Eingabegenerierung mit selbstverbesserndem Feedback funktioniert. Es werden verschiedenen Arten von Fuzzing und unterschiedlichen Metriken behandelt. Die 球探比分网den erhalten Hinweise, wo man mit Fuzzing beginnen kann, wie man Fuzz-Tests verbessert und wie man Fuzzing in die kontinuierliche Integration einbezieht. Die Theorie wird durch Beispiele mit Open-Source-Software in die Praxis umgesetzt, so dass die 球探比分网den anschlie?end in der Lage sind, selbst zu fuzzen.
Christopher Huth promovierte an der Ruhr-Universit?t Bochum im Bereich Physical-Layer Security Architectures for the Internet of Things. Derzeit arbeitet er als Forschungsingenieur bei der Robert Bosch GmbH und besch?ftigt sich mit Cybersicherheit und automatisierten Sicherheitstests, u.a. mit Fuzzing.
