GitLab、バグや脆弱性の検出ツール「GitLab Protocol Fuzzer Community Edition」をオープンソースで公開。APIやHTTP経由などでファジングを実行

2021年4月5日

GitLabは、ファジング(Fuzzing)と呼ばれる手法でバグや脆弱性を検出するツール「GitLab Protocol Fuzzer Community Edition」をオープンソースで公開しました

fig

ファジングとは、検査対象のソフトウェアに「ファズ(fuzz)」と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することでバグや脆弱性を検出する検査手法です。

GitLab Protocol Fuzzer Community Editionは、GitLabが2020年6月に買収したPeach Techが提供する商用のファジングツール「Peach Fuzzer Professional」をベースにしたもの。

「Peach Fuzzer Professional」と、それをベースにオープンソース化されたGitLab Protocol Fuzzer Community Editionは、ファジングをAPI経由やHTTP、SSLなどのプロトコル経由で行えるツール。PythonやJavaScriptなどのプログラミング言語への対応も行われています。

GitLabは、同社のDevOpsツールであるGitLabにこのファジングツールを組み込むことで、ビルド時などに自動的にバグや脆弱性を検出することを可能にしています。

実は、以前からPeach Fuzzerのコア部分はオープンソース化されていました。今回はそれに加えて商用版に含まれている多くの機能がオープンソース化されています。

GitLabは今後のファズテストについての方向性を明らかにしており、これに基づいてGitLab Protocol Fuzzer Community Editionへの機能追加を進め、GitLab本体にも反映させていくとしています。

ファジングはGoogleやマイクロソフトでもバグや脆弱性の検出に積極的に使われ、両社ともオープンソースのツールを公開しています。今回のGitLabによるGitLab Protocol Fuzzer Community Editionにより、オープンソースによるファジングツールがまた1つ充実したことになります。

関連記事

このエントリーをはてなブックマークに追加
follow us in feedly




カテゴリ

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed


最新記事10本