オープンソースソフトウェアのファジングプロジェクトをとりまとめるThe Fuzzing Projectの先頭に立っているのが、セキュリティ研究者のHanno Bock氏だ。The Fuzzing Projectは既に、GnuPGやOpenSSLのバグなど、広く知られたプログラムの脆弱性を多数発見している。同プロジェクトの当面の目標は、ファジングツールの改善と文書化だ。
False Positive Free Testing: TrustInSoftの共同創設者で、チーフサイエンティストを務めるPascal Cuoq氏は、補助金を受けてオープンソースの「tis-interpreter」を構築する。このプログラムは、「Frama-C」をベースとする商用ソフトウェア分析ツール「TIS Analyzer」を基にして構築される。Frama-Cは、Cプログラムを最初から最後までステートメントごとに解釈してバグを発見するデバッガだ。それぞれのステートメントについて、テスト対象のプログラムが未定義の挙動を引き起こすかどうかを確認する。
TIS Analyzerなど、Frama-Cを使用する従来のプログラムでは、誤検知が発生することもある。この新しいプログラムで目指すのは、誤検知を出さずにバグを特定する方法論を開発することだ。実現すれば、報告されるバグがすべて本物のバグということになる。
「American fuzzy lop」ファジングツールによって、OpenSSLの新しいテストケースが自動的に生成され、tis-interpreterはそこからバグを検知することができる。tis-interpreterのオープンソースバージョンは2016年前半にリリースされる見込みだ。このバージョンではOpenSSLが対象となる。成功すれば、tis-interpreterは他のオープンソースプログラムにも拡大される予定だ。
The Linux Foundationのエグゼクティブディレクターを務めるJim Zemlin氏は、声明で次のように述べた。「今回資金提供を発表したプロジェクトは、それぞれ全く異なるものだが、どれもグローバルコンピューティングインフラストラクチャとサイバーセキュリティにとって極めて重要なプロジェクトだ。これらの新しい補助金に加えて、Emilyという素晴らしい新メンバーが加わったことで、CIIはこれから先、極めて深刻なインフラストラクチャ脆弱性に対処する体制が整った」。Zemlin氏は最後にこう語っている。「CIIがオープンソースのセキュリティを部分的な修正から全体的なソリューションへと移行させていくなかで、EmilyのLinuxセキュリティに関する豊富な経験と標準化への取り組みが、CIIにとって重要な資産となるだろう」
CIIは、主要なオープンソースプロジェクトのセキュリティ強化を目的として、2014年に創設された。CIIは補助金の申請を受け付けており、資金不足のオープンソースプロジェクトのうち、対象とするインフラストラクチャの規模が大きいプロジェクトを優先している。運営委員会は年に4回協議を行い、セキュリティ関連の提案を精査する。補助金の申請や、詳細情報の提供依頼は、CIIのサイトからできる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。