Google、脆弱性検出ツール「OSS-Fuzz」のJavaVM対応を発表。Java/Kotlin/Scalaなどの脆弱性を検出可能に

Googleは、脆弱性検出ツールとしてオープンソースで公開している「OSS-Fuzz」をJavaVM言語にも対応させたことを明らかにしました。

OSS-FuzzはGoogleが2016年にオープンソースとして公開しました。

参考：Google、脆弱性検出のためのファジング（Fuzzing）を機械的に実行する「OSS-Fuzz」、ベータ公開

OSS-Fuzzは、ファジング（Fuzzing）と呼ばれる、「検査対象のソフトウェアに『ファズ（英名：fuzz）』と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで脆弱性を検出する検査手法」を実行してくれるツールです。

今回、ドイツのCode Intelligence社のファジングツールであるJazzerをOSS-Fuzzに統合することでJavaVM言語への対応を実現しました。

これによりJavaやKotlin、ScalaといったJavaVMベースのプログラミング言語に対してもOSS-Fuzzを利用できるようになっています。

Googleは、JavaVM言語のようなメモリセーフなプログラミング言語に対してファジングを行うことで、不適切なコードの振る舞いやクラッシュなどを見つけることができるだろうとしています。