タグ

Fuzzingに関するmi1kmanのブックマーク (3)

  • Google、Chromeの脆弱性テストシステム「ClusterFuzz」を紹介

    Googleは4月26日(現地時間)、Google Chromeセキュリティ強化を目的とする脆弱性テストシステム「ClusterFuzz」について説明した。 ソフトウェア開発では一般に、バグや脆弱性を検証するために不良データ(fuzz)を入力して問題発生を調査するテスト手法をファジングと呼ぶ。Chromeのチームは、Chromeのファジング用にClusterFuzzと名付けたインフラを使っているという。 ClusterFuzzは、同時に約6000のChromeインスタンスを稼働させる数百の仮想マシンで成り立っており、1日当たり5000万件程度のテストケースを実施している。 Googleは昨年末にClusterFuzzを完全に導入し、累計95の脆弱性を検出した。そのうち44の脆弱性については安定版リリース前にフィックスしたとしている。 GoogleはClusterFuzzの規模を、向こう

    Google、Chromeの脆弱性テストシステム「ClusterFuzz」を紹介
  • fuzzing.html#003

    このウェブページでは、「脆弱性検出の普及活動」(*1)で公開した「ファジング活用の手引き」等の「ファジング」(*2)に関する手引書などを紹介しています。これらの手引書などをご活用いただき、ソフトウェア製品の開発ライフサイクルへのファジング導入につながり、ソフトウェア製品の脆弱性が減少することを期待します。 ファジングコンテンツ一覧

  • 「ファジング」で人気ソフトの脆弱性を検査、効果を示して普及を狙う

    情報処理推進機構(IPA)は2011年7月28日、「ファジング(fuzzing)」と呼ばれる脆弱性検出技術の普及活動を、8月に開始することを発表した。IPAの担当者が、人気ソフトなどを対象にファジングを実施し、知見や実績を蓄積。それを基に「ファジング活用の手引き」をまとめ、2012年第1四半期をめどに公開するという。 ファジングとは、検査対象のソフトウエア製品あるいは機器に対して、開発者が想定しないようなデータを次々と入力し、その応答からソフトや機器の脆弱性を探す技術。想定外のデータとは、非常に長い文字列や大きい値など。 入力データの応答として異常な結果を返したり、動作が異常終了したりした場合には、その処理をした箇所を詳細に調べる。ファジングを実施するためのツール(「ファジングツール」や「ファザー」などと呼ばれる)は多数存在する。 IPAによれば、ファジングは脆弱性検出に有効な技術であり実

    「ファジング」で人気ソフトの脆弱性を検査、効果を示して普及を狙う
  • 1