Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

文字列関数のバグを自動修正する技術 - NTTと早大が共同開発

NTTと早稲田大学は、ソフトウェア開発段階で文字列操作の誤りを修正する技術を共同開発した。

開発者がプログラム内の関数で検索や置換をはじめとする文字列操作において、正規表現の指定をはじめとするパラメータ設定全般におけるバグを分析し、修正する技術を開発したもの。

従来より正規表現の修正に特化し、正規表現の処理でサービス拒否に陥る「ReDoS」の修正技術について研究を進めてきたが、文字列関数を対象として修正できるようカバレッジを拡大した。

正規表現や関数の実装における挙動などを理解しておらず、知識に乏しい場合も、文字列操作で開発者の意図に反した動作結果となることを防止し、開発時間の短縮や品質の向上を支援。開発の初期段階でバグへ対処できるため、修正コストの低減などにも寄与するとしている。

具体的には、プログラムに期待される入出力例を与えることで問題部分を特定。対象の文字列関数における動作をモデル化し、ECMAScript 2023準拠の理論モデルを用いて、すべての入出力例を満たす条件を効率的に導き出し、適切なパラメータ修正を自動的に行う。

現段階では、プログラム開発者が想定した文字列操作におけるバグ修正を行う技術にとどまり、想定を超えて誤動作を引き起こす第三者の入力により生じる脆弱性などには対応していない。引き続き研究を進めていくとしている。

(Security NEXT - 2024/11/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

アンケートメール誤送信でメアド流出 - 子ども支援団体
協力工事会社のファイルサーバに不正アクセス - 東電グループ会社
熊本暴追センターでサポート詐欺被害 - 相談者情報流出の可能性
DDoS攻撃件数は減少するも、最大攻撃規模は拡大 - IIJレポート
スポーツCSチャンネルの通販サイトが改ざん - 個人情報流出の可能性
三越伊勢丹の宅配サービスにPWリスト攻撃 - 不正注文などに注意喚起
WordPress向けスパム対策プラグインに複数の脆弱性 - すでに攻撃も
「InfluxDB」に全トークンが取得可能となる脆弱性 - 修正を準備中
小学校でサポート詐欺被害、サーバ内などに児童名簿 - 浦添市
オンライン会議ツールに学生名簿を誤アップロード - 岡山大