Googleは米国時間11月11日、継続的ファジングソリューション「ClusterFuzzLite」を発表した。ソフトウェアサプライチェーンのセキュリティを向上する上で役立つツールだ。
同社のソフトウェアエンジニアであるJonathan Metzman氏とOliver Chang氏、そしてCI/CD(継続的インテグレーション/継続的デリバリー)の製品責任者であるMichael Winser氏はブログ記事で、この新ツールは、「CI/CDワークフローの一部として実行し、かつてない速さで脆弱性を発見する」と述べた。
ファジングは、プログラムに無効なデータやランダムなデータを入力し、バグや想定外の動作を見つける自動化されたテスト手法の1つだ。手動の分析では見落としがちな脆弱性やエラーを発見できる可能性がある。
新しいClusterFuzzLiteは「ClusterFuzz」をベースにしている。ClusterFuzzはスケーラブルなファジングインフラストラクチャーで、Googleは2019年にオープンソース化している。「OSS-Fuzz」プログラムのファジングバックボーンとして使用されている。
同社によると、ClusterFuzzLiteを既存のワークフローに組み込み、プルリクエストのファジングが行える。そのため開発プロセスの早い段階で、変更がコミットされる前に脆弱性を発見できる可能性が高くなる。
ClusterFuzzとClusterFuzzLiteは、継続的ファジング、カバレッジレポートの作成、サニタイザーのサポートなど、いくつかの同じ機能を備えている。主な違いは、ClusterFuzzの方がクローズドソースのプロジェクトで容易にセットアップし、作業できる点だ。そのため開発者はClusterFuzzを利用して、迅速にソフトウェアのファジングが行えるという。
ClusterFuzzLiteは現時点で、「GitHub Actions」「Google Cloud Build」「Prow」に対応している。
「ClusterFuzzLiteで、ファジングはアクセスできる人のための、あれば理想的な『ボーナス』のテストではなくなり、誰もがすべてのソフトウェアプロジェクトで継続的に使用できる、重要な必須手順となっている」とチームは述べている。「バグがコードベースに入り込む前に発見して、防ぐことで、より安全なソフトウェアのエコシステムを構築できる」
ClusterFuzzLiteのドキュメントは、GitHubで公開されている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
