開発者必須のツールとなるかGoogleがファジングを自動実行する脆弱性検知ツール「OSS-Fuzz」を公開

Googleがファジングテストを行うツールを発表。GitHubでβ版が公開されている。ファジングテストとは何か。OSS-Fuzzを利用することで何が得られるのか。

[Adrian Bridgwater，Computer Weekly]

　Googleは2016年12月、ある施策によって開発者コミュニティーの話題となった。オープンソースコードの脆弱（ぜいじゃく）性を検出するソフトウェアファジングツールを発表したのだ。

Computer Weekly日本語版　1月25日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版　1月25日号」（PDF）掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

• Computer Weekly日本語版　1月25日号：ARMが進めるIoT戦略

なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。

ファジング（テスト）とは何か

　ファジングテスト、または単に「ファジング」といわれるものは、ソフトウェアテスト技法の1つだ。ソフトウェア、OS、ネットワークなどでコーディングの誤りやセキュリティの抜け穴を検出するもので、大量のランダムなデータ（これを「ファズ」という）をシステムに入力し、意図的にクラッシュを試みる。脆弱性が検出されると、ファズテスター（またはファザー）と呼ばれるツールが、その原因として考えられるものを表示する。

　Googleが今回発表した「OSS-Fuzz」は現在βテストの段階にあるが、その目標はスケーラブルな分散実行環境で最新のファジング技法を用いて、一般的に利用されているソフトウェアインフラのセキュリティを強化し、より強固にすることだ。

　Googleによると、基幹業務に導入しているオープンソースソフトウェア（OSS）にバッファーオーバーフローや「Use After Free」などのエラー（脆弱性）が含まれていると、重大な被害が広範囲に及ぶことが事例から確認されているという。これらのエラーは深刻な影響があるだけでなく、型通りのコードの監査ではたとえ経験豊富な開発者でも検出が困難なことでもよく知られている。

　そこでファジングテストが効果を発揮する。指定したプログラムにランダムな入力を生成すると、ファジングが起動してエラーを迅速かつ綿密に検査する。

続きはComputer Weekly日本語版　1月25日号にて

本記事は抄訳版です。全文は、以下でダウンロード（無料）できます。

• Computer Weekly日本語版　1月25日号：ARMが進めるIoT戦略

■Computer Weekly日本語版 最近のバックナンバー

Computer Weekly日本語版　1月11日号　家庭内のIoTデバイスを守れ！

Computer Weekly日本語版　12月21日号　知らないと損をするライセンス監査の罠

Computer Weekly日本語版　12月7日号　そのスマートウォッチ、役に立ってる？