Redakcja
Pytanie, które musimy sobie zadać, brzmi: czy fuzzing w końcu stanie się niezbędnym elementem każdego nowoczesnego zestawu narzędzi do testowania?
Czym jest fuzz testing?
Fuzzing to technika dynamicznego testowania odporności aplikacji na niepoprawne lub nieoczekiwane dane wejściowe. Nie jest testem wydajnościowym, bliżej mu do testów odporności i eksploracji zachowania aplikacji pod wpływem nieoczekiwanych danych. Wyróżnia się on zdolnością do dostarczania wglądu w zachowanie i bezpieczeństwo aplikacji, którego nie mogą zapewnić statyczne podejścia, takie jak statyczne testy bezpieczeństwa aplikacji. SAST i analiza komponentów oprogramowania (SCA) skupiają się na kodzie źródłowym i znanych problemach, podczas gdy fuzzing testuje pola wejściowe i parametry w działających aplikacjach. To właśnie to dynamiczne podejście pozwala wykryć problemy, które mogą umknąć najbardziej rygorystycznym testom kodu.
Choć fuzzing ma pewne podobieństwa do dynamicznego testowania bezpieczeństwa aplikacji (DAST), różni się fundamentalnie. DAST zazwyczaj symuluje znane ataki, natomiast fuzz testing jest wyjątkowo skuteczne w identyfikowaniu nieznanych luk (zero-day), które są trudne do odkrycia innymi metodami.
