AWS近日表示將開源兩個項目，一個項目是用于查找軟件漏洞的新模糊測試工具，另一個是用于控制應(yīng)用訪問的授權(quán)策略語言。

AWS是在Linux基金會年度開源峰會上公布這些新工具的，這些工具都以安全為重點。AWS公司表示，就SnapChange而言，這是一種新的模糊測試工具，讓開發(fā)人員和研究人員能夠試驗“快照模糊測試”。

模糊測試是一種用于發(fā)現(xiàn)軟件（尤其是開源項目）中安全問題的技術(shù)，可以監(jiān)視系統(tǒng)在處理隨機數(shù)據(jù)時的行為方式，例如可能涉及為呈現(xiàn)圖像的應(yīng)用更改樣本JPEG文件，然后在該應(yīng)用中打開該文件。如果應(yīng)用崩潰，則可能是存在應(yīng)用安全問題。

AWS公司開源戰(zhàn)略和營銷總監(jiān)David Nalley表示，SnapChange建立在這個概念之上，讓目標應(yīng)用能夠通過最少量的修改進行模糊測試。他說，模糊測試工具在行業(yè)中得到廣泛使用，“近年來幫助根除了數(shù)百個安全漏洞”。

Nalley解釋說，SnapChange不是唯一的模糊測試工具，但它的獨特之處在于，它不需要用戶重寫底層Linux內(nèi)核或者使用修改后的基于內(nèi)核的虛擬機。相反，它可以與現(xiàn)有Linux內(nèi)核和現(xiàn)有KVM協(xié)同工作，從而降低研究門檻，同時也擴展到數(shù)十個處理器核心。他說：“SnapChange將使模糊測試更高效?！?/p>

據(jù)他說，他們最初并沒有打算把SnapChange作為一個獨立的項目。它是由AWS的Find & Fix（F2）威脅搜尋研究團隊開發(fā)的，該團隊的任務(wù)是不僅要查找漏洞，還要嘗試修補這些漏洞。他說：“該團隊必須開發(fā)大量工具來進行大規(guī)模的安全研究，該工具就是其中之一?！?/p>

盡管AWS計劃通過增加新特性和功能支持SnapChange，但Nalley表示，AWS希望與研究群體展開合作，從長遠來看打造一個更強大的工具。他說：“AWS在開源供應(yīng)鏈安全方面擁有既得利益，我們在開源方面有著共同的命運?！?/p>

此次發(fā)布的第二個工具是Cedar，這是Amazon Verified Permissions和AWS Verified Access托管服務(wù)使用的授權(quán)策略語言。

Cedar既是一種開源語言，也是一種軟件開發(fā)工具包，可用于編寫和實施應(yīng)用的授權(quán)策略。開發(fā)人員使用Cedar可以對照片共享應(yīng)用中的圖像、微服務(wù)集群中的計算節(jié)點、或者工作流自動化平臺中的組件等資源進行訪問控制。它的靈活性讓開發(fā)人員能夠?qū)⒓毩６鹊臋?quán)限指定為Cedar策略，并通過調(diào)用Cedar SDK的授權(quán)引擎來授權(quán)訪問請求。

Nalley說，Cedar的策略語言是圍繞使用基于數(shù)學證明的“自動推理”概念編寫的。自動推理超越了測試驅(qū)動的開發(fā)范疇，利用數(shù)學來確保策略實際上是按照開發(fā)人員要求進行。 根據(jù)Nalley的說法，如果盡可能實現(xiàn)自動化，則更容易確保策略和限制的正確性。他解釋說：“你可以使用已經(jīng)存在的數(shù)學證明，來證明一個程序?qū)⒁蕴囟ǖ姆绞焦ぷ?。?/p>

盡管Cedar不能通過數(shù)學證明對所有事情實施自動化，但它是很有用的，因為它讓開發(fā)人員可以專注于僅測試策略不起作用的那些邊緣情況。

Nalley說，AWS開源Cedar主要是為了透明性，這樣開發(fā)人員就可以看到它是按預期工作的?！拔覀兿Ｍ蛻粝嘈臗edar能夠按預期工作，我們希望人們用它，去拆解它?！?/p>