進化演演算法加持！FANDANGO開源模糊測試工具讓資安檢測更精準

過去十年間，模糊測試已成為檢測軟體安全性與穩定性的主流技術。透過隨機產生輸入資料來觸發程式的異常行為，這類工具能有效找出系統漏洞與錯誤。如今，由德國CISPA資訊安全研究中心開發的開源工具FANDANGO，首度將生物進化演演算法引入模糊測試領域，讓測試人員能精準產生符合特定條件的測試案例。

這款1.0版全新問世的工具，由CISPA研究員José Antonio Zamudio Amaya與Andreas Zeller教授共同研發。他們模仿生物演化的過程，透過突變與選擇機制，自動產生大量同時兼顧語法與語義的高品質測試資料。相關論文已發表於《ACM軟體工程學報》。

「我們的演演算法原理其實很直觀，」Zamudio說明：「首先從程式規格中產生一組初始輸入資料，接著進行兩個關鍵步驟：一是對這些輸入進行突變以產生變化，二是將不同輸入資料的特徵進行交叉組合。透過反覆迭代這個過程，我們能持續評估產生的輸入是否符合測試者設定的條件。」

與傳統模糊測試工具最大的不同在於，FANDANGO讓測試人員能完整掌控產生輸入的特徵。Zeller教授強調：「我們認為測試人員最瞭解系統的運作邏輯，也最清楚可能出錯的地方。FANDANGO的價值就在於讓這些專業知識能直接運用在測試過程中。」

舉例來說，在一個客製化傢俱的電商平臺中，消費者需要輸入傢俱的高度、長度與深度。FANDANGO可以自動產生各種極端值組合，像是「長度為負值」或「座位面積達一平方公里」等特殊情況，幫助開發團隊找出系統潛在的邏輯缺陷。

研究團隊已將FANDANGO開源釋出於GitHub平臺，提供完整的命令列工具、教學檔案與使用指南。Zeller教授表示：「我們非常期待看到各界如何運用這項工具，也歡迎大家提供改進建議。能夠精準控制測試範圍並驗證運算結果，對業界同仁來說應該會是很大的幫助。」

這項創新研究成果將於2025年6月27日在挪威特隆赫姆舉行的「國際軟體測試與分析研討會」(ISSTA 2025)上正式發表。

[end]