下一代模糊测试解决方案的制造商ForAllSecure周三宣布了一项耗资200万美元的名为Mayhem Heros的计划,旨在帮助提高开源软件的安全性。该公司正在向开发人员提供Mayhem的免费副本,如果他们将该软件集成到合格的OSS GitHub项目中,开发人员将得到1000美元。
ForAllSecure首席执行官兼联合创始人大卫布鲁姆利在一份声明中表示:“我们的使命是抢在攻击者之前自动找到并修复世界上可利用的漏洞。”
Mayhem的专利算法是卡内基梅隆大学首创的,该软件是DARPA网络大挑战赛的获胜者,该挑战赛于2014年启动,旨在创建能够自动挖掘漏洞、生成补丁并在网络上实际部署的自动防御系统。“我们试图教机器进行黑客攻击。”布鲁姆利在接受采访时解释道。
“这个行业已经有很多静态分析工具,”布鲁姆利说:“静态分析可以追溯到1970年代。它是第一代应用程序安全工具,但它不像真正的攻击者那样工作,它无法展示如何利用系统,只能标注可疑代码。”
更重要的是,虽然静态工具会发现已知漏洞,但“这还不够,因为你总是落后于攻击者,”布鲁姆利说:“Mayhem所做的是试图在攻击者发现新问题之前发现它们。它的作用与人类渗透测试人员一样。”
随着Heroes计划的推出,Mayhem的两个版本——Mayhem for Code和Mayhem for API——将免费提供给开发人员个人使用。
参考链接:
https://forallsecure.com/mayhem-heroes
