Генерация initial corpus с помощью языковых моделей (готовим идеальную пищу для вашего фаззера)

Резерв

Защита информации
GO
ML
Безопасность
Безопасность инфраструктуры
Инфобезопасность

Доклад принят в программу конференции

Мнение Программного комитета о докладе

Давайте признаем, вопрос времени, когда LLM будет в разработке везде и всегда, и тут уже мы можем начать протаптывать дорожку, используя LLM для генерации тестовых данных. Я лично очень рекомендую этот доклад всем, кто хочет увидеть, какие задачи уже сейчас можно переложить на LLM.

Целевая аудитория

Специалисты в области информационной безопасности и Go-разработчики. Все, кто так или иначе связан с процессами сертификации.

Тезисы

Процесс фаззинга исходного кода продукта может продолжаться бесконечно, если подходить к нему без должной подготовки. Эта подготовка необязательно включает в себя знания из области информационной безопасности или техник фаззинг-тестирования. Она подразумевает создание условий, в которых процесс фаззинга не будет занимать больше времени, чем разработка самого продукта в целом. Поскольку всем продуктовым командам так или иначе приходится проходить сертификацию (которая включает в себя процесс фаззинг-тестирования), а также приходится убеждать себя и других в надежности и безопасности продукта, столкновение с процессом фаззинга неизбежно.

В этом докладе я расскажу, каким образом можно подготовить идеальную среду для вашего фаззера, чтобы вам не приходилось тратить время на то, чтобы научить его обходить валидацию в коде продукта или придумывать сложные структуры данных на входе определенных функций.

Младший инженер в отделе разработки платформы в компании YADRO. Занимается фаззинг-тестированием и пишет на Go.

Видео