文字列関数のバグを自動修正する技術 - NTTと早大が共同開発

NTTと早稲田大学は、ソフトウェア開発段階で文字列操作の誤りを修正する技術を共同開発した。

開発者がプログラム内の関数で検索や置換をはじめとする文字列操作において、正規表現の指定をはじめとするパラメータ設定全般におけるバグを分析し、修正する技術を開発したもの。

従来より正規表現の修正に特化し、正規表現の処理でサービス拒否に陥る「ReDoS」の修正技術について研究を進めてきたが、文字列関数を対象として修正できるようカバレッジを拡大した。

正規表現や関数の実装における挙動などを理解しておらず、知識に乏しい場合も、文字列操作で開発者の意図に反した動作結果となることを防止し、開発時間の短縮や品質の向上を支援。開発の初期段階でバグへ対処できるため、修正コストの低減などにも寄与するとしている。

具体的には、プログラムに期待される入出力例を与えることで問題部分を特定。対象の文字列関数における動作をモデル化し、ECMAScript 2023準拠の理論モデルを用いて、すべての入出力例を満たす条件を効率的に導き出し、適切なパラメータ修正を自動的に行う。

現段階では、プログラム開発者が想定した文字列操作におけるバグ修正を行う技術にとどまり、想定を超えて誤動作を引き起こす第三者の入力により生じる脆弱性などには対応していない。引き続き研究を進めていくとしている。

（Security NEXT - 2024/11/29 ） ツイート

PR

関連記事

海外子会社がランサム被害、影響など詳細を調査 - 淀川製鋼所
システム障害、調査でランサムウェアが原因と判明 - 近鉄エクスプレス
パッチや緩和策の適用、メモリ保護を統合した脆弱性対策製品
従業員がサポート詐欺被害、個人情報流出か - 住友林業クレスト
個人情報含む契約書類を誤送信、アドレス帳で選択ミス - 新潟県
生徒情報含むデータを第三者メアドへ誤送信 - 鹿児島高
「ConnectWise ScreenConnect」に脆弱性 - 修正版が公開
中国電力にサイバー攻撃 - 設定不備のリモート接続機器より侵入
NETSCOUT「nGeniusONE」に複数の脆弱性 - アップデートで修正
Python向けHTTPライブラリに脆弱性 - リクエストスマグリング攻撃のおそれ