黃郁文/編譯
雖然在本月 12 日 (2013/8/12) 已宣布暫停交易公司股票,BlackBerry 宣佈其正在尋求轉進方案,包含以出售、合資的模式來解決股票收益不斷下滑的狀況。然而其近期仍著手與 Mozilla 合作建置網路安全偵察類工具 Fuzzing,以提升相關產品在網路應用上的使用安全。Fuzzing 類型專案,概念上簡要來說是一種偵錯軟體,其方式是將多樣隨機或不正確資料置入應用程式、或個別專案的程式碼中 (fault injection),以找出該程式無法妥當處理的資料,並進一步測試程式是否能在各種干擾狀況下正常運作。Fuzzing 可用於各式各樣程式,也可延伸到資料庫軟體或共享記憶體上進行偵錯測試,它能指示程式的開發者,哪一部份的程式缺點需要進一步被稽核,亦可搭配其他除錯工具,以發揮更大功效。不過,這類的程式原則上僅能確保受測元件在一些例外情況下仍能正常運作,並不表示通過此類程式的測試,被測元件就會是完美無瑕的程式。
BlackBerry 與開放源碼專案為主要產品的 Mozilla 之間已非第一次合作,亦非其第一次參與開放源碼專案的增補與運用,大致上,BlackBerry 在 2010 年經由註冊 GitHub 開始進入開放源碼的世界,其並曾將 QNX 作業系統進行開放,亦強調公司一直有在 Webkit 的開源架構方面耕耘。此次再次與 Mozilla 就 Fuzzing 性質的開源專案展開合作,選擇的合作專案為 Peach。Peach 是一個建構於開源基礎的 fuzzing 框架,其能同時進行輸入資訊變體 (mutation-based) 與輸入資訊進化 (generation-based) 這兩大項目的偵錯測試,該專案創立於 2004 年,目前已進行到第三版第一測試版本。而 BlackBerry 與 Mozilla 雙方寄望能透過本次合作,結合雙方力量提升 Peach 專案在瀏覽器上的測試能力與偵錯功能,以進一步改善網路安全,提供客戶更為完善的保護。Mozilla 現已成功於 HTML5 環境下利用 Peach 進行 Fuzzing 測試,範圍包括:影像格式、影音多媒體格式、字型,及 WebGL、WebAudio,WebRTC 等核心應用程式上,以有效提高 Firefox 及 Firefox OS 的使用安全性。此外,Mozilla 除了與 BlackBerry 合作提升 Fuzzing 專案的應用範圍外,近期亦已公開另一個開放源碼安全測試平台 – Minion。Minion 著重正確性與簡易性,強調不論是開發者或是安全專家,都可利用該平台所提供的安全性測試工具,目前這些工具源碼亦已放置於 GitHub 上,值得感興趣的朋友造訪此網站略探一二。
—-
相關網址
1、Mozilla 與 BlackBerry 合作進行 Peach Fuzzing
http://www.linuxinsider.com/story/Mozilla-BlackBerry-Team-Up-on-Peach-Fuzzing-78615.html
2、BlackBerry 與 Mozilla 合作提升網路安全
http://crackberry.com/blackberry-teams-mozilla-further-web-security-through-fuzzing
3、Minion 安全測試專案於 MozillaWiki 上的說明頁面
https://wiki.mozilla.org/Security/Projects/Minion