文字列関数のバグを自動修正する技術 - NTTと早大が共同開発

NTTと早稲田大学は、ソフトウェア開発段階で文字列操作の誤りを修正する技術を共同開発した。

開発者がプログラム内の関数で検索や置換をはじめとする文字列操作において、正規表現の指定をはじめとするパラメータ設定全般におけるバグを分析し、修正する技術を開発したもの。

従来より正規表現の修正に特化し、正規表現の処理でサービス拒否に陥る「ReDoS」の修正技術について研究を進めてきたが、文字列関数を対象として修正できるようカバレッジを拡大した。

正規表現や関数の実装における挙動などを理解しておらず、知識に乏しい場合も、文字列操作で開発者の意図に反した動作結果となることを防止し、開発時間の短縮や品質の向上を支援。開発の初期段階でバグへ対処できるため、修正コストの低減などにも寄与するとしている。

具体的には、プログラムに期待される入出力例を与えることで問題部分を特定。対象の文字列関数における動作をモデル化し、ECMAScript 2023準拠の理論モデルを用いて、すべての入出力例を満たす条件を効率的に導き出し、適切なパラメータ修正を自動的に行う。

現段階では、プログラム開発者が想定した文字列操作におけるバグ修正を行う技術にとどまり、想定を超えて誤動作を引き起こす第三者の入力により生じる脆弱性などには対応していない。引き続き研究を進めていくとしている。

（Security NEXT - 2024/11/29 ）ツイート