Институт системного программирования им. В.П. Иванникова РАН


Инструмент тестирования ИСП Фаззер

ИСП Фаззер – инструмент проведения фаззинг-тестирования. Позволяет осуществлять динамический анализ ПО. Обнаруживает ошибки или закладки как при наличии, так и при отсутствии исходного кода. Позволяет построить процесс разработки в соответствии с ГОСТ Р 56939-2016.

Особенности и преимущества

ИСП Фаззер – инструмент динамического анализа, необходимый на всех этапах разработки, тестирования и эксплуатации ПО. Решает те же задачи, что и мировые аналоги (Synopsys Codenomicon, beSTORM, Peach Fuzzer), однако более удобен для российских компаний в условиях процесса импортозамещения.

ИСП Фаззер – это:

  • Осуществление фаззинг-тестирования через различные источники внешних данных (файл, аргументы командной строки, стандартный поток ввода, аргументы переменных окружений, сеть);
  • Возможность добавления пользовательских мутационных преобразований (для генерации новых входных данных и увеличения эффективности тестирования);
  • Наличие модулей пред- и постобработки входных данных для осуществления константных преобразований над данными перед их отправкой в анализируемое ПО;
  • Поддержка многопоточного анализа и на одной машине, и на распределённых;
  • Поддержка пользовательских плагинов отправки данных по сети (плагины позволяют осуществлять взаимодействие с клиентским или серверным ПО и отправлять мутированные данные);
  • Возможность интеграции с рядом необходимых инструментов жизненного цикла разработки безопасного ПО, созданных в ИСП РАН:
    • использование динамического анализатора Anxiety (ИСП РАН) для преодоления условных переходов, которые долгое время не получается пройти с помощью фаззинг-тестирования;
    • возможность получать входные данные, на которых проявляются ошибки, размеченные инструментом статического анализа Binside в автоматическом режиме;
    • отображение трассы последовательности функций, приводящих к аварийному завершению в статическом анализаторе Svace.
  • Совместная работа с дизассемблером IDA PRO:
    • Сохранение покрытия для плагина Lighthouse, которое отображает покрытые базовые блоки в ПО;
    • Вывод процента покрытых базовых блоков.
  • Возможность проведения анализа серверного и клиентского ПО, работающего по протоколам с состояниями и без состояний;
  • Лёгкая расширяемость и добавление новых методов в рамках существующей инфраструктуры; оперативная адаптация под новые задачи;
  • Возможность использования для реализации обеспечительных мер ГОСТ Р 56939-2016 (при необходимости сертификации ПО для использования на территории России).

Системные требования

Поддержка ОС семейства Linux и Windows. ИСП Фаззер способен проводить фаззинг-тестирование встроенных устройств (контроллеры, устройства интернета вещей), а также сервисов и COM-объектов ОС Windows.

Для кого предназначен ИСП Фаззер?

Компании, нацеленные на разработку ПО с высокой степенью надёжности и безопасности.

Опыт внедрения

ИСП Фаззер внедрён в компаниях АО «НПО РусБИТех», «Код безопасности» и МВП «Свемел», а также задействован в осуществлении проекта в области анализа и кибербезопасности программ, который реализуется ИСП РАН совместно с Институтом индустриально-технологических исследований Тайваня (ITRI).

Схема работы

fuzzer

Разработчик/участник

Информационные системы

Перейти к списку всех технологий