マイクロソフト、バグや脆弱性の検出を自動化する「Project OneFuzz」をオープンソース公開。すでに同社内でWindowsやMicorosoft Edgeのデバッグに利用中

マイクロソフトは、ソフトウェアのバグや脆弱性の検出をファジング（Fuzzing）と呼ばれる手法を用いて自動化するためのフレームワーク「Project OneFuzz」をオープンソースで公開することを発表しました。

Project OneFuzzは、すでにマイクロソフト社内でWindowsやMicrosoft Edgeなどの開発チームによりバグや脆弱性の検出に実際に使われていると説明されています。

「Microsoft announces new Project OneFuzz framework, an open source developer tool to find and fix bugs at scale」から引用します。

Project OneFuzz has already enabled continuous developer-driven fuzzing of Windows that has allowed Microsoft to proactively harden the Windows platform prior to shipment of the latest OS builds.

Project OneFuzzはすでに、開発者によるWindowsの継続的なFuzzingを実現しており、これによりマイクロソフトは最新のOSビルドの出荷前に、Windowsプラットフォームをより堅牢にできているのです。

Fuzzingを自動的に実行するワークフローを組み立てられる

Fuzzingとは、「検査対象のソフトウェアに、Fuzzと呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで脆弱性を検出する検査手法」のことです。

Project OneFuzzは、このFuzzingを自動化するためのFuzzの生成、カバレッジの追跡、対象のソフトウェアへの入力、クラッシュやバグの検知、レポーティングなどを行うさまざまなソフトウェアを組み合わせて自動化を行うためのフレームワークです。

CI/CDと組み合わせることで、アプリケーションにFuzzingを組み込んでビルドし、実行し、結果を分類、レポートを行い、デバッグする、といった一連のワークフローを開発者が組み立ててスケーラブルに実行させる、といったことが可能になります。

Project OneFuzzはWindowsとLinuxのどちらにも対応するとのこと。

Project OneFuzzのGitHubリポジトリはすでに公開されていますが、ソースコードなどは9月18日に行われるCppCconでの同社のセッション「Introducing Microsoft’s New Open Source Fuzzing Platform」に合わせて公開されるとのことです。