Offcanvas

������

고랭에서 찾기 힘든 버그 잡는다… ‘고 퍼즈’ 베타 테스트 공개

고(Go) 언어의 네이티브 퍼징이 베타 테스트 단계로 공개됐다. 이 새로운 자동 테스트 기능의 목표는 고 언어 개발자가 코드 품질을 개선하는 동시에 고랭으로 구축된 시스템을 안전하고 탄력적으로 유지할 수 있도록 지원하는 것이다.    지난 6월 3일 공식 블로그에서 고 언어 개발팀은 ‘퍼징(Fuzzing)’에 관해 프로그램 입력을 지속적으로 조작해 발견되지 않을 수 있는 문제나 버그를 찾는 자동화된 테스트 유형이라고 설명했다. 개발팀에 따르면 이러한 반 무작위 데이터 변형은 단위 테스트가 놓칠 수 있는 새로운 코드 커버리지를 발견하고, 그렇지 않으면 눈에 띄지 않는 엣지 케이스 버그를 잡아낼 수 있다. 특히 퍼징은 기존 테스트보다 더 많은 코드 커버리지를 제공하기 때문에 취약점을 찾는 데 있어 중요하다.  퍼즈를 사용하려면 다음을 실행하면 된다.    $ go get golang.org/dl/gotip $ gotip download dev.fuzz 퍼징 기능은 오는 8월 출시될 고 언어 1.17 릴리즈에선 사용할 수 없다. 그다음 버전에 포함될 계획이다. 이 프로토타입으로 개발자들이 퍼즈 타깃을 작성하고 피드백을 제공해주길 바란다고 고 언어 개발팀은 밝혔다. 개발자들은 깃허브를 통해 문제를 제출하거나 이곳(Gophers Slack)에서 피드백을 전달할 수 있다.  한편 퍼징이 많은 메모리를 소비할 수 있으며 이를 실행하는 동안 시스템 성능에 영향을 미칠 수 있다고 고 언어 개발팀은 언급했다. go test -fuzz는 기본적으로 SGOMAXPROCS 프로세스에서 퍼징을 병렬로 실행한다. go test와 함께 -parallel 플래그를 설정하면 퍼징 중에 사용되는 프로세스를 낮출 수 있다.  이어서 고 언어 개발팀은 퍼징 엔진이 이를 실행하는 동안 $GOCACHE/fuzz 내의 퍼즈 캐시 디렉토리에 테스트 범위를 확장하는 값을 작성한다고 전했다. 현재 퍼즈...

구글 고 언어 고랭 프로그래밍 언어 개발 언어 개발자 퍼징 퍼즈

2021.06.08

고(Go) 언어의 네이티브 퍼징이 베타 테스트 단계로 공개됐다. 이 새로운 자동 테스트 기능의 목표는 고 언어 개발자가 코드 품질을 개선하는 동시에 고랭으로 구축된 시스템을 안전하고 탄력적으로 유지할 수 있도록 지원하는 것이다.    지난 6월 3일 공식 블로그에서 고 언어 개발팀은 ‘퍼징(Fuzzing)’에 관해 프로그램 입력을 지속적으로 조작해 발견되지 않을 수 있는 문제나 버그를 찾는 자동화된 테스트 유형이라고 설명했다. 개발팀에 따르면 이러한 반 무작위 데이터 변형은 단위 테스트가 놓칠 수 있는 새로운 코드 커버리지를 발견하고, 그렇지 않으면 눈에 띄지 않는 엣지 케이스 버그를 잡아낼 수 있다. 특히 퍼징은 기존 테스트보다 더 많은 코드 커버리지를 제공하기 때문에 취약점을 찾는 데 있어 중요하다.  퍼즈를 사용하려면 다음을 실행하면 된다.    $ go get golang.org/dl/gotip $ gotip download dev.fuzz 퍼징 기능은 오는 8월 출시될 고 언어 1.17 릴리즈에선 사용할 수 없다. 그다음 버전에 포함될 계획이다. 이 프로토타입으로 개발자들이 퍼즈 타깃을 작성하고 피드백을 제공해주길 바란다고 고 언어 개발팀은 밝혔다. 개발자들은 깃허브를 통해 문제를 제출하거나 이곳(Gophers Slack)에서 피드백을 전달할 수 있다.  한편 퍼징이 많은 메모리를 소비할 수 있으며 이를 실행하는 동안 시스템 성능에 영향을 미칠 수 있다고 고 언어 개발팀은 언급했다. go test -fuzz는 기본적으로 SGOMAXPROCS 프로세스에서 퍼징을 병렬로 실행한다. go test와 함께 -parallel 플래그를 설정하면 퍼징 중에 사용되는 프로세스를 낮출 수 있다.  이어서 고 언어 개발팀은 퍼징 엔진이 이를 실행하는 동안 $GOCACHE/fuzz 내의 퍼즈 캐시 디렉토리에 테스트 범위를 확장하는 값을 작성한다고 전했다. 현재 퍼즈...

2021.06.08

구글 ‘OSS-퍼즈’, 자바 앱까지 퍼징 확대 지원

구글의 오픈소스 퍼징 서비스 ‘OSS-퍼즈(OSS-Fuzz)’가 이제 자바(Java) 및 JVM(Java Virtual Machine) 기반 언어(예: 코틀린, 스칼라 등)로 작성된 애플리케이션을 지원한다.    ‘OSS-퍼즈’는 오픈소스 소프트웨어에 지속적인 퍼징(continuous fuzzing)을 제공한다. 퍼징은 컴퓨터 프로그램에 유효하지 않은 무작위 데이터 스트림을 입력해 소프트웨어 프로그래밍 오류 및 보안 취약점을 찾는 방법이다.  지난 3월 10일 발표된 보도 자료에 따르면 이제 JVM 언어와 같은 메모리 보안 언어로 작성된 코드를 퍼징해 프로그램이 충돌하거나 잘못 작동하는 버그를 찾을 수 있다.  구글은 코드 인텔리전스(Code Intelligence)의 퍼저인 재저(Jazzer)를 OSS-퍼즈와 통합해 자바와 JVM에 대한 퍼징을 활성화했다고 설명했다. 재저를 사용하면 C/C++로 작성된 코드에서 했던 것처럼 LLVM 프로젝트의 립퍼저(libFuzzer)를 통해 JVM 기반 언어로 작성된 코드를 퍼징할 수 있다.  재저는 자바(Java), 클로저(Clojure), 코틀린(Kotlin), 스칼라(Scala)를 지원한다. 코드 커버리지 피드백은 JVM 바이트코드에서 립퍼저로 제공되며, 재저는 다음과 같은 립퍼저 기능을 지원한다.  • ‘FuzzedDataProvider’: 바이트 배열을 허용하지 않는 퍼징 코드  • 8-bit 엣지 카운터를 기반으로 한 코드 커버리지 평가 • 충돌 입력 최소화 • 가치 프로필  구글은 JVM 언어로 작성된 오픈소스 프로젝트를 OSS-퍼즈에 추가하는 방법을 설명하는 문서를 제공했다. 구글은 궁극적으로 재저가 모든 립퍼저 기능을 지원할 계획이라고 전했다. 재저는 자바 네이티브 인터페이스(Java Native Interface; JNI)를 통해 실행되는 네이티브 코드에서 커버리지 피드백을 제공할 수도 있다. 이를 통해 메모리가 보안되지...

구글 오픈소스 퍼징 퍼즈 테스트 퍼저 OSS-퍼즈 자바 JVM 코틀린 스칼라 프로그래밍 오류 보안 취약점 코드 인텔리전스 재저 립퍼저 클로저

2021.03.15

구글의 오픈소스 퍼징 서비스 ‘OSS-퍼즈(OSS-Fuzz)’가 이제 자바(Java) 및 JVM(Java Virtual Machine) 기반 언어(예: 코틀린, 스칼라 등)로 작성된 애플리케이션을 지원한다.    ‘OSS-퍼즈’는 오픈소스 소프트웨어에 지속적인 퍼징(continuous fuzzing)을 제공한다. 퍼징은 컴퓨터 프로그램에 유효하지 않은 무작위 데이터 스트림을 입력해 소프트웨어 프로그래밍 오류 및 보안 취약점을 찾는 방법이다.  지난 3월 10일 발표된 보도 자료에 따르면 이제 JVM 언어와 같은 메모리 보안 언어로 작성된 코드를 퍼징해 프로그램이 충돌하거나 잘못 작동하는 버그를 찾을 수 있다.  구글은 코드 인텔리전스(Code Intelligence)의 퍼저인 재저(Jazzer)를 OSS-퍼즈와 통합해 자바와 JVM에 대한 퍼징을 활성화했다고 설명했다. 재저를 사용하면 C/C++로 작성된 코드에서 했던 것처럼 LLVM 프로젝트의 립퍼저(libFuzzer)를 통해 JVM 기반 언어로 작성된 코드를 퍼징할 수 있다.  재저는 자바(Java), 클로저(Clojure), 코틀린(Kotlin), 스칼라(Scala)를 지원한다. 코드 커버리지 피드백은 JVM 바이트코드에서 립퍼저로 제공되며, 재저는 다음과 같은 립퍼저 기능을 지원한다.  • ‘FuzzedDataProvider’: 바이트 배열을 허용하지 않는 퍼징 코드  • 8-bit 엣지 카운터를 기반으로 한 코드 커버리지 평가 • 충돌 입력 최소화 • 가치 프로필  구글은 JVM 언어로 작성된 오픈소스 프로젝트를 OSS-퍼즈에 추가하는 방법을 설명하는 문서를 제공했다. 구글은 궁극적으로 재저가 모든 립퍼저 기능을 지원할 계획이라고 전했다. 재저는 자바 네이티브 인터페이스(Java Native Interface; JNI)를 통해 실행되는 네이티브 코드에서 커버리지 피드백을 제공할 수도 있다. 이를 통해 메모리가 보안되지...

2021.03.15

'보안 위협' vs. ‘권리'··· SW 소스 검열 ‘논란'

최근 러시아 정부가 소프트웨어를 납품하는 미국 업체에 소스 코드를 검열하겠다고 나서 논란이 되고 있다. 일부 보안 전문가가 심각한 보안 위협이 될 수 있다고 주장하는 가운데, 반론도 만만치 않다. 경쟁 관계에 있는 국가와 소스 코드를 공유하면 보안 허점이 노출될 가능성이 커지지만 소스코드가 모든 문을 다 열 수 있는 '만능 열쇠’는 아니라는 것이다. 미국과 러시아 양국의 사이버스파이 신경전이 한껏 고조된 가운데 소스 검열을 둘러싼 논쟁이 격화하고 있다. 전문가들은 미국 소프트웨어에 백도어가 있을 수 있다는 러시아 정부의 우려와 소스 코드 검열 요청은 충분히 가능한 것이라고 말한다. 소스 코드 검열의 안전성 여부를 놓고 벌어진 이러한 논쟁은 지난 10월, HP가 러시아 방위청에 자사의 아크사이트(ArcSight) SIEM(이 소프트웨어는 이후 영국 기업 마이크로 포커스 인터네셔널 Plc가 인수했다) 소스 코드를 제공했다는 사실이 밝혀지면서 시작됐다. 아크사이트 SIEM은 미국 내 기업에서 널리 사용될 뿐만 아니라 미국 펜타곤도 사용하는 것으로 알려져 있다. 이 소식이 전해지자 외국 정부와 소스 코드를 공유하는 것에 대한 ‘분개'의 목소리를 터져 나왔다. 시만텍 CEO 그렉 클라크는 로이터 통신과의 인터뷰에서 “소스 코드는 원칙적으로 기밀이며, (소프트웨어를) 보호하기 위해 필수적인 요소이다. 비밀로 유지하는 것이 가장 좋다”라고 말했다. 그러나 저명한 사이버보안 전문가들은 이러한 찻잔 속 태풍 같은 논란에 의문을 제기한다. 전직 NSA 해커 찰리 밀러는 트위터를 통해 “15년 간 버그 사냥을 해 온 사람으로서, 소스 코드를 안다고 해서 크게 이점이 될 만한 것은 없다”고 잘라말했다. 그는 몇 년 전 지프 체로키 차량의 테스트 해킹 팀에 참여해 성공적인 결과를 이끌어 낸 것으로 유명하다. DARPA의 사이버 보안 연구 책임자 페이터 자코 역시 &ldqu...

소스검열 퍼징 리버시엔지니어링

2017.12.13

최근 러시아 정부가 소프트웨어를 납품하는 미국 업체에 소스 코드를 검열하겠다고 나서 논란이 되고 있다. 일부 보안 전문가가 심각한 보안 위협이 될 수 있다고 주장하는 가운데, 반론도 만만치 않다. 경쟁 관계에 있는 국가와 소스 코드를 공유하면 보안 허점이 노출될 가능성이 커지지만 소스코드가 모든 문을 다 열 수 있는 '만능 열쇠’는 아니라는 것이다. 미국과 러시아 양국의 사이버스파이 신경전이 한껏 고조된 가운데 소스 검열을 둘러싼 논쟁이 격화하고 있다. 전문가들은 미국 소프트웨어에 백도어가 있을 수 있다는 러시아 정부의 우려와 소스 코드 검열 요청은 충분히 가능한 것이라고 말한다. 소스 코드 검열의 안전성 여부를 놓고 벌어진 이러한 논쟁은 지난 10월, HP가 러시아 방위청에 자사의 아크사이트(ArcSight) SIEM(이 소프트웨어는 이후 영국 기업 마이크로 포커스 인터네셔널 Plc가 인수했다) 소스 코드를 제공했다는 사실이 밝혀지면서 시작됐다. 아크사이트 SIEM은 미국 내 기업에서 널리 사용될 뿐만 아니라 미국 펜타곤도 사용하는 것으로 알려져 있다. 이 소식이 전해지자 외국 정부와 소스 코드를 공유하는 것에 대한 ‘분개'의 목소리를 터져 나왔다. 시만텍 CEO 그렉 클라크는 로이터 통신과의 인터뷰에서 “소스 코드는 원칙적으로 기밀이며, (소프트웨어를) 보호하기 위해 필수적인 요소이다. 비밀로 유지하는 것이 가장 좋다”라고 말했다. 그러나 저명한 사이버보안 전문가들은 이러한 찻잔 속 태풍 같은 논란에 의문을 제기한다. 전직 NSA 해커 찰리 밀러는 트위터를 통해 “15년 간 버그 사냥을 해 온 사람으로서, 소스 코드를 안다고 해서 크게 이점이 될 만한 것은 없다”고 잘라말했다. 그는 몇 년 전 지프 체로키 차량의 테스트 해킹 팀에 참여해 성공적인 결과를 이끌어 낸 것으로 유명하다. DARPA의 사이버 보안 연구 책임자 페이터 자코 역시 &ldqu...

2017.12.13

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13