Googleがファジングを自動実行する脆弱性検知ツール「OSS-Fuzz」を公開開発者必須のツールとなるか

Googleがファジングテストを行うツールを発表。GitHubでβ版が公開されている。ファジングテストとは何か。OSS-Fuzzを利用することで何が得られるのか。

2017年02月03日 08時00分 公開
[Adrian BridgwaterComputer Weekly]
Computer Weekly

 Googleは2016年12月、ある施策によって開発者コミュニティーの話題となった。オープンソースコードの脆弱(ぜいじゃく)性を検出するソフトウェアファジングツールを発表したのだ。

Computer Weekly日本語版 1月25日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 1月25日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

ファジング(テスト)とは何か

 ファジングテスト、または単に「ファジング」といわれるものは、ソフトウェアテスト技法の1つだ。ソフトウェア、OS、ネットワークなどでコーディングの誤りやセキュリティの抜け穴を検出するもので、大量のランダムなデータ(これを「ファズ」という)をシステムに入力し、意図的にクラッシュを試みる。脆弱性が検出されると、ファズテスター(またはファザー)と呼ばれるツールが、その原因として考えられるものを表示する。

 Googleが今回発表した「OSS-Fuzz」は現在βテストの段階にあるが、その目標はスケーラブルな分散実行環境で最新のファジング技法を用いて、一般的に利用されているソフトウェアインフラのセキュリティを強化し、より強固にすることだ。

 Googleによると、基幹業務に導入しているオープンソースソフトウェア(OSS)にバッファーオーバーフローや「Use After Free」などのエラー(脆弱性)が含まれていると、重大な被害が広範囲に及ぶことが事例から確認されているという。これらのエラーは深刻な影響があるだけでなく、型通りのコードの監査ではたとえ経験豊富な開発者でも検出が困難なことでもよく知られている。

 そこでファジングテストが効果を発揮する。指定したプログラムにランダムな入力を生成すると、ファジングが起動してエラーを迅速かつ綿密に検査する。

ITmedia マーケティング新着記事

news099.jpg

ソーシャルメディア利用年齢規制でMetaより損をするのは?
ソーシャルメディアの利用は16歳以上に制限されるべきなのだろうか。そうだとしたら、実...

news205.jpg

台湾の旅行者の77.4%、米国の旅行者の53.6%は1年以内に日本を再訪したい――JTB総合研究所調査
訪日インバウンド旅行者の中にはリピーターとなる人も少なくありません。そこで、次回の...

news163.jpg

電通グループがRobloxと組んで次世代コンテンツクリエイターを支援 その背景は?
電通グループがゲームプラットフォーム「Roblox」を活用した次世代クリエイター支援プロ...