Googleは2016年12月、ある施策によって開発者コミュニティーの話題となった。オープンソースコードの脆弱(ぜいじゃく)性を検出するソフトウェアファジングツールを発表したのだ。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 1月25日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
ファジングテスト、または単に「ファジング」といわれるものは、ソフトウェアテスト技法の1つだ。ソフトウェア、OS、ネットワークなどでコーディングの誤りやセキュリティの抜け穴を検出するもので、大量のランダムなデータ(これを「ファズ」という)をシステムに入力し、意図的にクラッシュを試みる。脆弱性が検出されると、ファズテスター(またはファザー)と呼ばれるツールが、その原因として考えられるものを表示する。
Googleが今回発表した「OSS-Fuzz」は現在βテストの段階にあるが、その目標はスケーラブルな分散実行環境で最新のファジング技法を用いて、一般的に利用されているソフトウェアインフラのセキュリティを強化し、より強固にすることだ。
Googleによると、基幹業務に導入しているオープンソースソフトウェア(OSS)にバッファーオーバーフローや「Use After Free」などのエラー(脆弱性)が含まれていると、重大な被害が広範囲に及ぶことが事例から確認されているという。これらのエラーは深刻な影響があるだけでなく、型通りのコードの監査ではたとえ経験豊富な開発者でも検出が困難なことでもよく知られている。
そこでファジングテストが効果を発揮する。指定したプログラムにランダムな入力を生成すると、ファジングが起動してエラーを迅速かつ綿密に検査する。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 1月11日号 家庭内のIoTデバイスを守れ!
Computer Weekly日本語版 12月21日号 知らないと損をするライセンス監査の罠
Computer Weekly日本語版 12月7日号 そのスマートウォッチ、役に立ってる?
ラグビーに関心を持つ人が急増――マクロミルと三菱UFJリサーチ&コンサルティングが調査
「2019年スポーツマーケティング基礎調査」の結果から速報値を紹介します。
Qlik、SaaS版セルフサービスBI製品「Qlik Sense Business」を発表
Qlikの特許技術である連想インデクシング(Associative Indexing)による高度なアナリテ...
日本人の1日のメールチェック時間は仕事用77分、私用53分 調査対象7カ国で最短――Adobe調査
メールの開封率およびエンゲージメント率向上のためにはまず、企業からのメールがいつ、...
ITmediaはアイティメディア株式会社の登録商標です。
