不正データを与えてOSSの脆弱性をあぶり出す「ファジング」とは? Googleが事例発表メモリ破壊タイプの脆弱性以外にも役立つ

GoogleはOSS向けファジングサービス「OSS-Fuzz」の事例を発表した。「TinyGLTF」プロジェクトの重大な脆弱性を発見できた。これまで以上に広範な脆弱性を発見する能力がファジングツールにあるのだという。

» 2022年09月14日 17時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Googleは2022年9月8日(米国時間)、オープンソースソフトウェア(OSS)向けファジングサービス「OSS-Fuzz」の事例を発表した。「TinyGLTF」プロジェクトの重大な脆弱(ぜいじゃく)性(CVE-2022-3008)を発見したことだ。ファジングツールにはこれまで以上に広範な脆弱性を発見する能力があるのだという。

 ファジングとは、ソースコードを直接解析するのではなく、極端に長い文字列や不正な形式の値などさまざまな入力データを与えてコードを実行し、意図的に予期せぬ動作やクラッシュを引き起こすテスト手法だ。

 OSS-Fuzzはオープンソースプロジェクト向けにファジングツール(ファザー)を実行し、検出されたバグを非公開で開発者に知らせる無償サービスだ。約700の重要なオープンソースプロジェクトにバグがないかどうか、定期的にチェックしている。Googleが開発し、オープンソースコミュニティーと共に提供している。

この脆弱性を発見したことにはどのような意味があるのか

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。