Google、ファジングツール評価を自動化できる「FuzzBench」をリリース:ソフトウェアテスト同士を比較できる
Googleは、複数のファジングツールの評価を自動化できるオープンソースソフトウェアであり、無料サービスである「FuzzBench」をリリースした。どのソフトウェアテストが優れているのか、判定しやすい。
Googleは2020年3月2日(米国時間)、ファジングツールの評価を自動化できるオープンソースソフトウェア(OSS)であり、無料サービスである「FuzzBench」をリリースした。ファジングツールの厳密な評価を容易に行えるようにし、ファジングによるバグ調査を導入しやすくする狙いだ。
ファジングは重要なソフトウェアテスト手法だ。「0」「null」「巨大な値」「不正な形式の値」「ランダムな値」「境界値」などさまざまな入力データを多数、ソフトウェアに与えることで、ソフトウェアが含むバグや脆弱(ぜいじゃく)性などをあぶり出すことができる。ファジング用の自動化ソフトウェアをファジングツールと呼ぶ。
Googleは「libFuzzer」や「AFL」のようなファジングツールを使って、数万件のバグを検出してきた。こうしたツールの改良(「MOpt-AFL」「AFLFast」など)が進んでおり、新しいバグ検出手法(「Driller」「QSYM」など)に関する多数の研究論文も発表されている。
課題もある。これらのツールは、その性能を評価、検証しにくいのだ。バグ検出性能を比較する際に、実際のプログラムを大量に使ったとしても、一般化できる形で検証することは難しい。
研究論文では通常、評価結果が示されているものの、評価方法に問題がある場合も少なくない。例えば、実際のプログラムを使ったさまざまなベンチマークセットを大規模に使用していなかったり、試行回数が少なかったり、試行時間が短かったり、統計テストが欠けていたりする、といった問題だ。
なぜ評価が難しいのか
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 新たなWebハッキング技術、2019年に登場したトップ10をPortSwiggerが発表
サイバーセキュリティツールベンダーのPortSwiggerは、2019年の新しいWebハッキング技術についてトップ10を発表した。Googleの検索ボックスだけを使うといった全く新しい攻撃手法はもちろん、既存の複数の手法を組み合わせて新たな攻撃を作り上げたものなど、「価値ある」攻撃手法を取り上げた。 - Microsoft、ソフトウェアのセキュリティテストに機械学習を適用するニューラルファジング研究を推進
Microsoftの研究者は、機械学習とディープニューラルネットワークをソフトウェアのセキュリティ脆弱性発見に利用する「ニューラルファジング」という研究プロジェクトを進めている。初期の実験では有望な結果を示している。 - 「車載セキュリティ」研究の最前線――「2016年 暗号と情報セキュリティシンポジウム(SCIS2016)」レポート
2016年1月19日から22日にかけて開催された「2016年 暗号と情報セキュリティシンポジウム(SCIS2016)」の中から、「車載セキュリティ」関連の発表をピックアップして紹介します。