在為 Visual Studio Code 升級 C++ 擴展至 1.0 版本之外，今天微軟還宣布了一款新的開源工具--Project OneFuzz。作為已經退休的 Security Risk Detection Service 繼任者，該工具是面向 Azure 的開源自托管開發(fā)者模糊測試平臺。

[[342384]]

　　模糊測試本質上是通過嚴格的測試過程來消除可利用的安全漏洞，包括用大量隨機數據淹沒相關程序。雖然相當有用，但執(zhí)行起來往往也很復雜。Project OneFuzz 試圖利用開源的 LLVM 編譯器，從而讓模糊測試變得更容易、更可持續(xù)。

　　由于上述進展，以前必須附加到持續(xù)構建系統中的相關機制現在可以直接嵌入到系統中。例如，碰撞檢測可以通過 asan 工具內置，而覆蓋率跟蹤可以使用 SanitizerCoverage（sancov）工具內置。展望未來，這些變化使得單元測試二進制文件的開發(fā)能夠在一個可執(zhí)行文件中內置各種模糊技術。

　　該測試框架已經被用于其他微軟服務和平臺，包括 Microsoft Edge 和 Windows。現在，隨著 Project OneFuzz 的可用性擴展到全世界的開發(fā)者，可以在 GitHub 上訪問這里。