Seite 5: Fazit

Am Fuzzing führt im Bereich Software-Testing mittlerweile kein Weg vorbei. Sicherheit ist für nahezu jede Software relevant. Sie entwickelt sich schnell, und es fehlt an Experten, um den vollständigen Umfang manuell zu testen. Mit Fuzzing die eigene Software auf Fehler und Schwachstellen zu überprüfen, ist mit der neuen Generation an automatisierten Fuzzern einfach und effektiv. Fuzzing kostet weit weniger Zeit als manuelles Testen und findet Fehler effektiver als ein reiner Einsatz statischer Codeanalyse. Das frühe Auffinden von Softwarefehlern spart zudem signifikante Entwicklungs- und Wartungskosten ein.

Lesen Sie auch

Best Practice: Testautomatisierung in komplexen Umgebungen bei CosmosDirekt

Je eher Teams Schwachstellen identifizieren und eliminieren, desto einfacher und kosteneffektiver stellen sich alle nachfolgenden Phasen dar. Weiterhin wirkt sich der zeitlich und qualitativ optimierte Entwicklungsprozess positiv auf die Motivation der beteiligten Entwickler aus. Sie können sich dank smartem Fuzzing komplett auf das Programmieren und nicht auf die Suche nach Bugs fokussieren.

Dementsprechend sollte jedes Unternehmen mit Entwicklungskapazitäten die Chance nutzen, eigene Software durch Fuzzing zu verbessern. AFL und libFuzzer sind die prominentesten Open-Source-Vertreter für das moderne Fuzzing, erfordern jedoch einiges an Expertise und Mühe, um sie in bestehende Projekte einzubinden. Einzelne kommerzielle Alternativen bieten hingegen Erweiterungen, um den Einsatz von Fuzzing möglicherweise zu vereinfachen und in die CI/CD-Pipeline zu integrieren.

Die Alternative – ein passives Verharren – schlägt sich nicht nur negativ auf die Fehlerbehebungskosten nieder, sondern öffnet Angreifern Tür und Tor. Es darf in Zukunft keine Software mehr ausgeliefert werden, die Fehler enthält, die man durch Fuzzing hätte finden können.

Sergej Dechand
ist CEO und Co-Founder von Code Intelligence und will Fuzzing als zuverlässige Methode des Software-Testings in einem breiten Markt etablieren. Zuvor arbeitete er als Projektleiter am Fraunhofer-Institut FKIE und hat einschlägige Erfahrungen als externer Softwareentwickler und IT-Berater gesammelt. Neben seinen Aufgaben bei Code Intelligence ist er aktiv an der Forschung im Bereich der Usable Security an der Rheinischen Friedrich-Wilhelms-Universität Bonn eingebunden, wo er auch als Dozent tätig ist. (bbo)