安般探路

2022-05-30 12:39周琦
21世纪商业评论 2022年10期
关键词:软件测试科技

周琦

软件,为生活带去便利,也因自身缺陷导致了悲剧。

1996年Ariane5火箭发射后解体,近来的新能源汽车刹车失灵,都是软件缺陷所致。2022年国内智能汽车行业车辆召回的原因中,软件缺陷占比50%以上。

系统上线前,测试人员即使全面测试,思维定式下会忽略“不按常理出牌”的情況。譬如中行“原油宝”事件,原油价格跌到负数,很难提前设想到。

安般科技提供的智能模糊测试工具,解决了此类问题。该测试基于软件内部结构和路径,智能生成大量的非预期输入,观察软件是否会因此出现系统崩溃、断言失败等异常。

换句话说,就是通过机器自动写各种常见或罕见的测试用例,来检测软件的缺陷和漏洞。

技术突破

模糊测试的技术突破是近几年的事。

当前软件测试以人工为主,静态分析工具辅助,通过漏洞规则做模式匹配,只能查找已知漏洞,误报率高,对复杂逻辑的代码场景及未知缺陷无能为力。

传统模糊测试类似猴子敲键盘,随机输入用例,能找到一些未知缺陷,但对一些深层路径依旧很难实现充分测试。

随着软件规模和复杂度的快速提升,整体代码量以每年1110亿行的速度增长。人工写测试用例等传统测试手段,已不能满足各行业对软件安全性、健壮性的要求。

“希望通过智能模糊测试,尽量避免因软件质量问题引起的安全性、稳定性问题,同时节约人工成本。”安般科技创始人汪毅告诉《21CBR》记者。

2018年,安般科技根据前期积累的程序分析技术,完成了模糊测试系统雏形,两年后推出易恒智能模糊测试系统。

它怎样参与软件的生命周期?

开发阶段,易恒与CI工具(执行自动化任务的工具)融合,根据软件构想和设计,通过虚拟化技术/全数字仿真,搭建与真实硬件一致的环境,解决开发过程中的代码调试问题。

测试阶段,为单元测试、集成测试提供负面测试支撑,有效排除产品中存在的缺陷和风险。

验证阶段,结合虚拟化技术/全数字仿真,免除烦琐的硬件环境搭建、验证动作,保证硬件环境的稳定性,规避由于硬件环境问题造成的错误结论。

易恒还能准确定位故障位置和详细展示故障信息,故障修复时,快速复现故障现场,帮助开发人员高效精准修复。

一家信创企业使用了安般科技的这一系统,在单元测试和集成测试层面进行模糊测试,通过动态运行方式发现各类导致程序崩溃的问题,并将易恒集成到DevOps(过程、方法与系统的统称)平台,实现全自动化模糊测试,提升测试覆盖率。

针对军工、信创、金融和汽车等行业,安般又推出了四大测试系统产品——易侦协议模糊测试系统、易察Web/API模糊测试系统、易识固件供应链安全管理系统、SCA源代码成分分析系统。

“我们之前统计过一个程序,如果依赖人工测试,需要5个人花近20天,代码覆盖率不到40%;在安般工具的帮助下,仅花5个小时,就达到了95%的综合覆盖率,找到了300多个bug。”汪毅重点介绍道。

加速落地

汪毅是个95后,最初萌生进入信息安全赛道的想法,是在大学期间。

那时快递员每天手动群发大量短信,他做了款名为“到了吗”的软件,精准推送快递信息。运营过程中,软件时常遭受各种网络威胁,有竞争对手的恶意攻击,也有“脚本小子”的全网扫描。

2018年,汪毅创立安般科技,专门研发针对中小公司的安全解决方案。刚开始,他将产品定位于传统的信息安全领域,随着对市场调研的深入,发现传统信息安全市场不以产品驱动,更偏向于合规检查。

2019年底,在和中国信息安全测评中心合作过程中,汪毅发现我国信创产业快速发展,软件安全被提到至关重要的位置。尤其是关乎国防、基础设施建设的行业,要在关键领域用国产软件,还要确保国产软件的绝对安全,实践难度可想而知。

2021年,看到金融行业遭遇供应链攻击,无人驾驶车辆频频失事,汪毅意识到,仅凭特定项目无法改造整个软件质量体系生态,他下定决心做标准化的产品。

实际落地时,他发现用户的软件环境“千奇百怪”,嵌入式环境没有操作系统,甚至只是个单片机,靠“标准化”很难适配。

汪毅引入全数字仿真系统——把被测对象放到仿真环境中,进行智能模糊测试。针对部分没有源码的软件,安般科技开发了协议模糊测试系统,进行黑盒测试。

去年,安般科技营收超1000万元,今年预估能突破4000万元。公司也受到了众多资本关注。2022年8月,安般科技宣布完成超亿元的A轮融资。

接下来,汪毅有两大规划。

先是将智能模糊测试大众化,使安般的工具真正嵌入到各软件公司的开发、测试和验收环节中。

“将更多精力放在了金融和汽车行业,接下来会扩展到更多的行业和领域。”汪毅透露。

除了拓展应用的宽度,他还希望让受众辐射更多中小企业。“后续会推出相应的SaaS产品,让中小客户在千元成本下就能做一次智能模糊测试,提高软件质量和开发效率。”

汪毅坦言,无法解决软件安全的所有问题。安般科技对标的是美国软件公司“新思科技”,这家公司花了10年时间收购了20多家公司,构建起软件安全链条中的一些关键环节。

他则希望通过生态联盟的形式,在国内打造一套自主可控的供给链。“行业里每个公司能解决的问题不同,只有将各个环节整合,才能共同构建出完整的软件安全链条。”

猜你喜欢
软件测试科技
禅宗软件
幽默大测试
“摄问”测试
软件对对碰
“摄问”测试
“摄问”测试
科技助我来看云
科技在线
科技在线
科技在线