オープンソースのセキュリティ強化へ--The Linux FoundationのCIIが支援する3プロジェクト - (page 2)

Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 川村インターナショナル

2015-06-25 06:45

 オープンソースソフトウェアのファジングプロジェクトをとりまとめるThe Fuzzing Projectの先頭に立っているのが、セキュリティ研究者のHanno Bock氏だ。The Fuzzing Projectは既に、GnuPGやOpenSSLのバグなど、広く知られたプログラムの脆弱性を多数発見している。同プロジェクトの当面の目標は、ファジングツールの改善と文書化だ。

 False Positive Free Testing: TrustInSoftの共同創設者で、チーフサイエンティストを務めるPascal Cuoq氏は、補助金を受けてオープンソースの「tis-interpreter」を構築する。このプログラムは、「Frama-C」をベースとする商用ソフトウェア分析ツール「TIS Analyzer」を基にして構築される。Frama-Cは、Cプログラムを最初から最後までステートメントごとに解釈してバグを発見するデバッガだ。それぞれのステートメントについて、テスト対象のプログラムが未定義の挙動を引き起こすかどうかを確認する。

 TIS Analyzerなど、Frama-Cを使用する従来のプログラムでは、誤検知が発生することもある。この新しいプログラムで目指すのは、誤検知を出さずにバグを特定する方法論を開発することだ。実現すれば、報告されるバグがすべて本物のバグということになる。

 「American fuzzy lop」ファジングツールによって、OpenSSLの新しいテストケースが自動的に生成され、tis-interpreterはそこからバグを検知することができる。tis-interpreterのオープンソースバージョンは2016年前半にリリースされる見込みだ。このバージョンではOpenSSLが対象となる。成功すれば、tis-interpreterは他のオープンソースプログラムにも拡大される予定だ。

 The Linux Foundationのエグゼクティブディレクターを務めるJim Zemlin氏は、声明で次のように述べた。「今回資金提供を発表したプロジェクトは、それぞれ全く異なるものだが、どれもグローバルコンピューティングインフラストラクチャとサイバーセキュリティにとって極めて重要なプロジェクトだ。これらの新しい補助金に加えて、Emilyという素晴らしい新メンバーが加わったことで、CIIはこれから先、極めて深刻なインフラストラクチャ脆弱性に対処する体制が整った」。Zemlin氏は最後にこう語っている。「CIIがオープンソースのセキュリティを部分的な修正から全体的なソリューションへと移行させていくなかで、EmilyのLinuxセキュリティに関する豊富な経験と標準化への取り組みが、CIIにとって重要な資産となるだろう」

 CIIは、主要なオープンソースプロジェクトのセキュリティ強化を目的として、2014年に創設された。CIIは補助金の申請を受け付けており、資金不足のオープンソースプロジェクトのうち、対象とするインフラストラクチャの規模が大きいプロジェクトを優先している。運営委員会は年に4回協議を行い、セキュリティ関連の提案を精査する。補助金の申請や、詳細情報の提供依頼は、CIIのサイトからできる。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  4. クラウドコンピューティング

    Snowflakeを例に徹底解説!迅速&柔軟な企業経営に欠かせない、データ統合基盤活用のポイント

  5. ビジネスアプリケーション

    AI活用の上手い下手がビジネスを左右する!データ&AIが生み出す新しい顧客体験へ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]