GitLab、バグや脆弱性の検出ツール「GitLab Protocol Fuzzer Community Edition」をオープンソースで公開。APIやHTTP経由などでファジングを実行

GitLabは、ファジング（Fuzzing）と呼ばれる手法でバグや脆弱性を検出するツール「GitLab Protocol Fuzzer Community Edition」をオープンソースで公開しました。

ファジングとは、検査対象のソフトウェアに「ファズ（fuzz）」と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することでバグや脆弱性を検出する検査手法です。

GitLab Protocol Fuzzer Community Editionは、GitLabが2020年6月に買収したPeach Techが提供する商用のファジングツール「Peach Fuzzer Professional」をベースにしたもの。

「Peach Fuzzer Professional」と、それをベースにオープンソース化されたGitLab Protocol Fuzzer Community Editionは、ファジングをAPI経由やHTTP、SSLなどのプロトコル経由で行えるツール。PythonやJavaScriptなどのプログラミング言語への対応も行われています。

GitLabは、同社のDevOpsツールであるGitLabにこのファジングツールを組み込むことで、ビルド時などに自動的にバグや脆弱性を検出することを可能にしています。

実は、以前からPeach Fuzzerのコア部分はオープンソース化されていました。今回はそれに加えて商用版に含まれている多くの機能がオープンソース化されています。

GitLabは今後のファズテストについての方向性を明らかにしており、これに基づいてGitLab Protocol Fuzzer Community Editionへの機能追加を進め、GitLab本体にも反映させていくとしています。

ファジングはGoogleやマイクロソフトでもバグや脆弱性の検出に積極的に使われ、両社ともオープンソースのツールを公開しています。今回のGitLabによるGitLab Protocol Fuzzer Community Editionにより、オープンソースによるファジングツールがまた1つ充実したことになります。

関連記事

• Google、脆弱性検出のためのファジング（Fuzzing）を機械的に実行する「OSS-Fuzz」、ベータ公開
• Google、脆弱性検出ツール「OSS-Fuzz」のJavaVM対応を発表。Java/Kotlin/Scalaなどの脆弱性を検出可能に
• マイクロソフト、バグや脆弱性の検出を自動化する「Project OneFuzz」をオープンソース公開。すでに同社内でWindowsやMicorosoft Edgeのデバッグに利用中
• マイクロソフト、AIでソフトウェアのバグや脆弱性を探る「Microsoft Security Risk Detection」を発表