AWS近日表示将开源两个项目,一个项目是用于查找软件漏洞的新模糊测试工具,另一个是用于控制应用访问的授权策略语言。
AWS是在Linux基金会年度开源峰会上公布这些新工具的,这些工具都以安全为重点。AWS公司表示,就SnapChange而言,这是一种新的模糊测试工具,让开发人员和研究人员能够试验“快照模糊测试”。
模糊测试是一种用于发现软件(尤其是开源项目)中安全问题的技术,可以监视系统在处理随机数据时的行为方式,例如可能涉及为呈现图像的应用更改样本JPEG文件,然后在该应用中打开该文件。如果应用崩溃,则可能是存在应用安全问题。
AWS公司开源战略和营销总监David Nalley表示,SnapChange建立在这个概念之上,让目标应用能够通过最少量的修改进行模糊测试。他说,模糊测试工具在行业中得到广泛使用,“近年来帮助根除了数百个安全漏洞”。
Nalley解释说,SnapChange不是唯一的模糊测试工具,但它的独特之处在于,它不需要用户重写底层Linux内核或者使用修改后的基于内核的虚拟机。相反,它可以与现有Linux内核和现有KVM协同工作,从而降低研究门槛,同时也扩展到数十个处理器核心。他说:“SnapChange将使模糊测试更高效。”
据他说,他们最初并没有打算把SnapChange作为一个独立的项目。它是由AWS的Find & Fix(F2)威胁搜寻研究团队开发的,该团队的任务是不仅要查找漏洞,还要尝试修补这些漏洞。他说:“该团队必须开发大量工具来进行大规模的安全研究,该工具就是其中之一。”
尽管AWS计划通过增加新特性和功能支持SnapChange,但Nalley表示,AWS希望与研究群体展开合作,从长远来看打造一个更强大的工具。他说:“AWS在开源供应链安全方面拥有既得利益,我们在开源方面有着共同的命运。”
此次发布的第二个工具是Cedar,这是Amazon Verified Permissions和AWS Verified Access托管服务使用的授权策略语言。
Cedar既是一种开源语言,也是一种软件开发工具包,可用于编写和实施应用的授权策略。开发人员使用Cedar可以对照片共享应用中的图像、微服务集群中的计算节点、或者工作流自动化平台中的组件等资源进行访问控制。它的灵活性让开发人员能够将细粒度的权限指定为Cedar策略,并通过调用Cedar SDK的授权引擎来授权访问请求。
Nalley说,Cedar的策略语言是围绕使用基于数学证明的“自动推理”概念编写的。自动推理超越了测试驱动的开发范畴,利用数学来确保策略实际上是按照开发人员要求进行。 根据Nalley的说法,如果尽可能实现自动化,则更容易确保策略和限制的正确性。他解释说:“你可以使用已经存在的数学证明,来证明一个程序将以特定的方式工作。”
尽管Cedar不能通过数学证明对所有事情实施自动化,但它是很有用的,因为它让开发人员可以专注于仅测试策略不起作用的那些边缘情况。
Nalley说,AWS开源Cedar主要是为了透明性,这样开发人员就可以看到它是按预期工作的。“我们希望客户相信Cedar能够按预期工作,我们希望人们用它,去拆解它。”
好文章,需要你的鼓励
OpenAI 本周为 ChatGPT 添加了 AI 图像生成功能,用户可直接在对话中创建图像。由于使用量激增,CEO Sam Altman 表示公司的 GPU "正在融化",不得不临时限制使用频率。新功能支持工作相关图像创建,如信息图表等,但在图像编辑精确度等方面仍存在限制。值得注意的是,大量用户正在使用该功能创作吉卜力动画风格的图像。
Synopsys 近期推出了一系列基于 AMD 最新芯片的硬件辅助验证和虚拟原型设计工具,包括 HAPS-200 原型系统和 ZeBu-200 仿真系统,以及面向 Arm 硬件的 Virtualizer 原生执行套件。这些创新工具显著提升了芯片设计和软件开发的效率,有助于加快产品上市速度,满足当前 AI 时代下快速迭代的需求。
人工智能正在深刻改变企业客户关系管理 (CRM) 的方方面面。从销售自动化、营销内容生成到客服智能化,AI不仅提升了运营效率,还带来了全新的服务模式。特别是自主代理AI (Agentic AI) 的出现,有望在多渠道无缝接管客户服务职能,开创CRM发展新纪元。
数据孤岛长期困扰着组织,影响着人工智能的可靠性。它们导致信息分散、模型训练不完整、洞察力不一致。解决方案包括实施强大的数据治理、促进跨部门协作、采用现代数据集成技术等。克服数据孤岛对于充分发挥AI潜力至关重要。