2025 Let’s GoSSIP 软件安全暑期学校预告第一弹——Kea2

主要观点总结

文章介绍了在微软上海紫竹园区的Let’s GoSSIP软件安全暑期学校中，华东师范大学苏亭教授关于移动应用软件功能错误的自动化测试的新探索和思考。文章提到了苏教授及其团队在移动应用自动化测试和缺陷检测方面的新突破，特别是他们开发的一款移动应用UI模糊测试工具Kea2。传统测试技术在UI功能正确性测试上的局限性被强调，而基于性质的GUI测试技术的引入解决了这一问题，并能有效发现崩溃错误及非崩溃功能（逻辑）错误。苏老师团队已经在一些商业应用中使用这种技术发现了重要的软件功能和隐私安全缺陷。目前，Kea2工具正在与腾讯团队合作，集成在微信自动化智能探索工具中，并已经发现微信发行版多个功能逻辑问题。此外，Kea2工具背后的技术也正在迁移到微信支付的测试系统以及华为相关开发和测试工具中。

关键观点总结

关键观点1: 移动应用软件功能错误的自动化测试的新探索和思考

文章介绍了华东师范大学苏亭教授在移动应用软件功能错误的自动化测试方面的新思考和探索，包括传统的模糊测试在移动应用测试中的局限性。

关键观点2: Kea2工具的介绍

苏亭教授团队开发的移动应用UI模糊测试工具Kea2能够自动协同自动化遍历测试与脚本测试两种技术实现更有效的功能测试。

关键观点3: 传统测试方法的局限性及基于性质的GUI测试技术的引入

传统测试方法在UI功能正确性测试上的局限性被认识到，并引入了基于性质的GUI测试技术，能有效发现崩溃错误及非崩溃功能（逻辑）错误。苏老师团队已经利用这种技术发现了一些商业应用中的软件缺陷。

关键观点4: Kea2工具的应用实例

Kea2工具正在与腾讯团队合作，已经集成在微信自动化智能探索工具中，并在一个月内发现了微信发行版的多个功能逻辑问题。此外，该工具的技术也正在迁移到微信支付的测试系统以及华为相关开发和测试工具中。

关键观点5: Kea2工具的开源及学习机会

Kea2是一款开源工具，大家可以在GitHub访问项目源码，也可以在PyPi上直接下载安装。文章鼓励大家参加暑期学校，学习Kea2工具的使用，甚至参与开源项目。

免责声明