AWS 开源模糊测试工具 SnapChange 和基于策略的访问控制语言 Cedar

Amazon Web Services (AWS) 今天启动了两个新的开源项目，此举部分旨在解决对软件供应链安全的担忧。

亚马逊云计算子公司透露，它正在开源一种名为SnapChange的新模糊测试工具，以及最近推出的一种名为Cedar的授权策略语言和 SDK。

供应链

在过去的几年里，随着SolarWinds 和 Log4J 等软件供应链安全性进入公众意识，人们齐心协力投入更多资源来保护从政府、医院到公司等所有人免受试图利用供应链弱点的不良行为者的侵害。他们使用的软件。

在美国，拜登总统早在 2021 年就发布了一项行政命令，概述了旨在应对此类威胁的各种措施，促使大型科技公司推出各种举措，以表明他们至少有点主动。例如，亚马逊、谷歌和微软等公司去年承诺提供 3000 万美元用于加强开源软件安全。

然而，在该行政命令发布后，美国国家标准与技术研究院 (NIST) 也发布了软件验证指南，建议将所谓的“模糊测试”作为其软件测试最低标准的一部分。

模糊测试，也称为模糊测试，是一种持续测试软件稳健性的方法，它通过向程序抛出随机或无效数据来查看其响应方式。这可能是一种在漏洞被野外利用之前自动发现漏洞的有效方法。

正是在这种背景下，AWS 开源了 SnapChange。

今天在北美开源峰会上宣布，SnapChange 是AWS 称为Find & Fix 的内部团队的第一批成果。

该团队由全职安全研究人员组成，负责查找和修复关键开源软件中的错误，然后与相关项目维护者分享他们的发现。 AWS 表示，它还可以与维护人员合作提供工作补丁。

SnapChange 最初是作为一种实验性的模糊测试工具，但现在任何人都可以通过 GitHub 使用它。虽然传统的模糊测试器可以有效地发现软件中的错误，但 SnapChange 完全是关于“快照”模糊测试的，这是一种更高级的化身，它使用虚拟化技术（例如模拟器）在难以访问的代码上更精细地执行。

这也呼应了包括谷歌在内的云计算竞争对手的举措，谷歌此前开源了其 ClusterFuzz模糊测试工具，随后又开源了ClusterFuzzLite 。早在 2020 年，微软还开源了一个名为 OneFuzz 的模糊测试平台。

在其他地方，AWS最近创建了一种名为 Cedar 的新授权策略语言，它关注在软件中定义访问权限，允许开发人员编写在粒度级别规定权限的策略。借助 Cedar，公司可以控制对特定资源的访问，例如照片共享应用程序中的照片，或微服务集群中的特定节点。

截至今天，Cedar SDK 已在 GitHub 上提供，承诺为 Cedar 开发带来透明度（“默默无闻就没有安全性”），并允许任何第三方实体做出自己的贡献。