Google、脆弱性検出のためのファジング(Fuzzing)を機械的に実行する「OSS-Fuzz」、ベータ公開
2016年12月12日
ファジング(Fuzzing)とは、「検査対象のソフトウェアに『ファズ(英名:fuzz)』と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで脆弱性を検出する検査手法」であると、IPA(独立行政法人 情報処理推進機構)が発行する「ファジング活用の手引き」で説明されています。
Googleは、このファジングを機械的に実行するためのソフトウェア「OSS-Fuzz」をベータ公開したことを発表しました。
OSS-Fuzzの開発はGoogleと、OpenSSLやOpenSSH、NTPdなどインターネットの基盤に欠かせないソフトウェア開発を支援する「Core Infrastructure Initiative」が共同で行っています。
OSS-Fuzzはすでにフォントレンダリングのためのライブラリ「FreeType」で使われ、Heap-buffer-overflowを検出。メンテナに通知をし、修正された後の確認にも使われたと報告されています。しかもこれが全部1日で済んだとのこと。
OSS-FuzzはさまざまなFuzzingエンジン(当初はlibFuzzer)、サニタイザ(当初はAddressSanitizer)を組み合わせることができ、これらによってセキュリティの脆弱性や安定性、また論理的なバグなども発見できる可能性があるとのこと。
さらにClusterFuzzによって大規模分散環境での実行にも対応するとしています。
≪前の記事
テラスカイとアプレッソ、クラウド型データ統合サービス「DataSpider Cloud」を共同開発。グローバル展開を目指し、2017年1月から提供開始