Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

文字列関数のバグを自動修正する技術 - NTTと早大が共同開発

NTTと早稲田大学は、ソフトウェア開発段階で文字列操作の誤りを修正する技術を共同開発した。

開発者がプログラム内の関数で検索や置換をはじめとする文字列操作において、正規表現の指定をはじめとするパラメータ設定全般におけるバグを分析し、修正する技術を開発したもの。

従来より正規表現の修正に特化し、正規表現の処理でサービス拒否に陥る「ReDoS」の修正技術について研究を進めてきたが、文字列関数を対象として修正できるようカバレッジを拡大した。

正規表現や関数の実装における挙動などを理解しておらず、知識に乏しい場合も、文字列操作で開発者の意図に反した動作結果となることを防止し、開発時間の短縮や品質の向上を支援。開発の初期段階でバグへ対処できるため、修正コストの低減などにも寄与するとしている。

具体的には、プログラムに期待される入出力例を与えることで問題部分を特定。対象の文字列関数における動作をモデル化し、ECMAScript 2023準拠の理論モデルを用いて、すべての入出力例を満たす条件を効率的に導き出し、適切なパラメータ修正を自動的に行う。

現段階では、プログラム開発者が想定した文字列操作におけるバグ修正を行う技術にとどまり、想定を超えて誤動作を引き起こす第三者の入力により生じる脆弱性などには対応していない。引き続き研究を進めていくとしている。

(Security NEXT - 2024/11/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

教員採用選考受検者の自己申告用紙が所在不明に - 新潟県
他県で実施した中学校自然教室で生徒名簿が所在不明に - 横浜市
誤った住所へ会員証を送付、システムトラブルで - JAF
Salesforceのローコード開発ツールに脆弱性 - 設定リスクの指摘も
構成管理ツール「Salt」に複数脆弱性 - 「クリティカル」も
MDMサーバから従業員情報流出、削除データも - ジブラルタ生保
「Kibana」に深刻な脆弱性 - 「Chromium」の既知脆弱性に起因
ファッション通販サイトに不正アクセス、通知メールが送信
サイバー攻撃で元従業員情報が流出した可能性 - クミアイ化学工業
「IBM i」のFAX機能に権限昇格の脆弱性 - 修正パッチを提供