編集部からのお知らせ
New! 記事まとめ「ISMAP-LIU」
話題の記事まとめ「通信障害と社会リスク」

グーグル、継続的ファジングソリューション「ClusterFuzzLite」リリース

Charlie Osborne (ZDNet.com) 翻訳校正: 編集部

2021-11-12 11:53

 Googleは米国時間11月11日、継続的ファジングソリューション「ClusterFuzzLite」を発表した。ソフトウェアサプライチェーンのセキュリティを向上する上で役立つツールだ。

 同社のソフトウェアエンジニアであるJonathan Metzman氏とOliver Chang氏、そしてCI/CD(継続的インテグレーション/継続的デリバリー)の製品責任者であるMichael Winser氏はブログ記事で、この新ツールは、「CI/CDワークフローの一部として実行し、かつてない速さで脆弱性を発見する」と述べた。

 ファジングは、プログラムに無効なデータやランダムなデータを入力し、バグや想定外の動作を見つける自動化されたテスト手法の1つだ。手動の分析では見落としがちな脆弱性やエラーを発見できる可能性がある。

 新しいClusterFuzzLiteは「ClusterFuzz」をベースにしている。ClusterFuzzはスケーラブルなファジングインフラストラクチャーで、Googleは2019年にオープンソース化している。「OSS-Fuzz」プログラムのファジングバックボーンとして使用されている。

 同社によると、ClusterFuzzLiteを既存のワークフローに組み込み、プルリクエストのファジングが行える。そのため開発プロセスの早い段階で、変更がコミットされる前に脆弱性を発見できる可能性が高くなる。

 ClusterFuzzとClusterFuzzLiteは、継続的ファジング、カバレッジレポートの作成、サニタイザーのサポートなど、いくつかの同じ機能を備えている。主な違いは、ClusterFuzzの方がクローズドソースのプロジェクトで容易にセットアップし、作業できる点だ。そのため開発者はClusterFuzzを利用して、迅速にソフトウェアのファジングが行えるという。

 ClusterFuzzLiteは現時点で、「GitHub Actions」「Google Cloud Build」「Prow」に対応している。

 「ClusterFuzzLiteで、ファジングはアクセスできる人のための、あれば理想的な『ボーナス』のテストではなくなり、誰もがすべてのソフトウェアプロジェクトで継続的に使用できる、重要な必須手順となっている」とチームは述べている。「バグがコードベースに入り込む前に発見して、防ぐことで、より安全なソフトウェアのエコシステムを構築できる」

 ClusterFuzzLiteのドキュメントは、GitHubで公開されている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]