マジセミドライブ

ウェビナー関連のニュースやITサービス&ツールの最新情報を随時配信します。

OSS情報

2020.01.01

【OSS情報アーカイブ】OSS-Fuzz

【OSS情報アーカイブ】OSS-Fuzz

※当記事に記載されている情報は、古くなっている場合があります。オフィシャルサイトで最新情報をご確認ください。

「OSS-Fuzz」とは

基本情報

概要

OSS-Fuzz(オーエスエス ファズ)とは、Google製のオープンソースソフトウェア向け継続的ファズテストツールです。複数ツールを組み合わせて「ファジング手法+分散実行」によりソフトウェア脆弱性を検出します。

「ファジング(ファズテスト)」とは

「ファジング(ファズテスト)」とは、ソフトウェアの不具合(脆弱性)を発見するためのテスト手法の1つです。

検査対象のソフトウェアに予測不可能な入力データ(ファズ:fuzz)を入力し、意図的に例外を発生させ、その応答/挙動を監視することで脆弱性を検出する検査手法です。

基本説明

OSS-Fuzzは、ファジングを機械的に実行するためのファズテストツールです。

「最新ファジングテクニック」と「スケーラブル分散実行」を組み合わせることで、オープンソースソフトウェアを安全/安定にすることを目指しています。

OSS-Fuzzにより、オープンソースソフトウェアに対する大規模脆弱性テストを行うことができるようになり、安定した高品質なソフトウェア開発に寄与するツールとして期待されています。

経緯

OSS-Fuzzは、Google+Linux Foundationの「Core Infrastructure Initiative」で開発が行われています。「Core Infrastructure Initiative」は、インターネット基盤ソフトウェア(OpenSSL/OpenSSH/NTPDなど)の開発支援を行う協業プロジェクトです。

2016年12月、GoogleはOSS-Fuzzのオープンソース発表を行いました。

主な特徴

拡張性のあるファジング分散実行環境

OSS-Fuzzは、さまざまな「ファジングエンジン」「サニタイザ」などを組み合わせて、セキュリティ脆弱性/論理的バグなどを検出しようとしています。

OSS-Fuzzには、汎用ファジングエンジン「AFL」「libFuzzer」や、サニタイザ「AddressSanitize」などが実装されています。これらは、GoogleがChromeブラウザのコンポーネント脆弱性テストに使用しています。

また、分散型ファジングインフラ「ClusterFuzz」を利用して、拡張性のある分散実行環境を実現しています。

検出バグ種類

検出できるバグ種類には次のようなものがあります。
・バッファオーバーフロー
・整数オーバーフロー
・セキュリティ脆弱性(Use-After-Freeなど)
・メモリリーク
・NULLポインタ値参照
・論理上のバグ(場合によっては)

バグ検出オペレーション

OSS-Fuzzに参加するオープンソースプロジェクトでバグが発見された場合のオペレーションです。
1.ClusterFuzzがバグを検出
2.ClusterFuzzがOSS-Fuzzのイシュートラッカーに報告
3.プロジェクトオーナーにバグレポートが通知される
4.プロジェクトがバグを修正
5.ClusterFuzzが自動的に修正を確認し、コメントを加えてイシューをクローズ

バグ情報開示ガイドラインにより、「OSS-Fuzzトラッカーで新たに報告されたバグには90日間の非開示期間を設ける」とされています。

対応言語

当初対応しているプログラミング言語は、C/C++です。

同様製品

同様な機能を提供する製品として、次のようなものがあります。

オープンソース製品:「Vuls」「OWASP Zed Attack Proxy(ZAP)」など。

導入事例

OSS-Fuzzは「OpenSSL」「JSON」「Node.js」「PostgreSQL」「SQLite3」「ffmpeg」などのプロジェクトで利用されており、「1週間に最大4兆回のテストケースを回している」としています。

ライセンス情報

OSS-Fuzzのライセンスは「Apache License Version 2.0」です。このライセンスに従うことを条件として、ソースコードの改変と公開が許可されています。

ダウンロード

ダウンロードページ

※定期的にメンテナンスを実施しておりますが、一部情報が古い場合がございます。ご了承ください。

この記事のタグ一覧

おすすめの記事

【IT用語解説】「 デジタルヒューマン 」とは😊

IT用語解説

2024.01.26

【IT用語解説】「 デジタルヒューマン 」とは😊

【IT用語解説】「 デジタルヒューマン 」として、「デジタルヒューマンとは何か?」「どのようにして作成できるのか?」「私たちの世界にどのような影響を与えているのか?」などについて、まとめています。

AIツール関連 記事リストポータル

AIツール

2023.10.05

AIツール関連 記事リストポータル

AI 関連の記事をまとめたポータルページです。

【AIツール実験室】チャットAI対抗「添削能力」選手権🏆

AIツール実験室

2023.12.27

【AIツール実験室】チャットAI対抗「添削能力」選手権🏆

各チャットAIの「添削能力」について比較確認をしています。 「ChatGPT4と同等の添削能力を発揮した無料チャットAI」にご注目ください。 また、 ChatGPTカスタマイズ機能「GPTs」を利用して作成した GPTs文章添削機能「添削師匠さん✍️」を紹介しています。 課金勢は試しに使ってみてください。