オープンソースのセキュリティ強化へ--The Linux FoundationのCIIが支援する3プロジェクト - (page 2)

Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 川村インターナショナル

2015-06-25 06:45

 オープンソースソフトウェアのファジングプロジェクトをとりまとめるThe Fuzzing Projectの先頭に立っているのが、セキュリティ研究者のHanno Bock氏だ。The Fuzzing Projectは既に、GnuPGやOpenSSLのバグなど、広く知られたプログラムの脆弱性を多数発見している。同プロジェクトの当面の目標は、ファジングツールの改善と文書化だ。

 False Positive Free Testing: TrustInSoftの共同創設者で、チーフサイエンティストを務めるPascal Cuoq氏は、補助金を受けてオープンソースの「tis-interpreter」を構築する。このプログラムは、「Frama-C」をベースとする商用ソフトウェア分析ツール「TIS Analyzer」を基にして構築される。Frama-Cは、Cプログラムを最初から最後までステートメントごとに解釈してバグを発見するデバッガだ。それぞれのステートメントについて、テスト対象のプログラムが未定義の挙動を引き起こすかどうかを確認する。

 TIS Analyzerなど、Frama-Cを使用する従来のプログラムでは、誤検知が発生することもある。この新しいプログラムで目指すのは、誤検知を出さずにバグを特定する方法論を開発することだ。実現すれば、報告されるバグがすべて本物のバグということになる。

 「American fuzzy lop」ファジングツールによって、OpenSSLの新しいテストケースが自動的に生成され、tis-interpreterはそこからバグを検知することができる。tis-interpreterのオープンソースバージョンは2016年前半にリリースされる見込みだ。このバージョンではOpenSSLが対象となる。成功すれば、tis-interpreterは他のオープンソースプログラムにも拡大される予定だ。

 The Linux Foundationのエグゼクティブディレクターを務めるJim Zemlin氏は、声明で次のように述べた。「今回資金提供を発表したプロジェクトは、それぞれ全く異なるものだが、どれもグローバルコンピューティングインフラストラクチャとサイバーセキュリティにとって極めて重要なプロジェクトだ。これらの新しい補助金に加えて、Emilyという素晴らしい新メンバーが加わったことで、CIIはこれから先、極めて深刻なインフラストラクチャ脆弱性に対処する体制が整った」。Zemlin氏は最後にこう語っている。「CIIがオープンソースのセキュリティを部分的な修正から全体的なソリューションへと移行させていくなかで、EmilyのLinuxセキュリティに関する豊富な経験と標準化への取り組みが、CIIにとって重要な資産となるだろう」

 CIIは、主要なオープンソースプロジェクトのセキュリティ強化を目的として、2014年に創設された。CIIは補助金の申請を受け付けており、資金不足のオープンソースプロジェクトのうち、対象とするインフラストラクチャの規模が大きいプロジェクトを優先している。運営委員会は年に4回協議を行い、セキュリティ関連の提案を精査する。補助金の申請や、詳細情報の提供依頼は、CIIのサイトからできる。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]