文字列関数のバグを自動修正する技術 - NTTと早大が共同開発
NTTと早稲田大学は、ソフトウェア開発段階で文字列操作の誤りを修正する技術を共同開発した。
開発者がプログラム内の関数で検索や置換をはじめとする文字列操作において、正規表現の指定をはじめとするパラメータ設定全般におけるバグを分析し、修正する技術を開発したもの。
従来より正規表現の修正に特化し、正規表現の処理でサービス拒否に陥る「ReDoS」の修正技術について研究を進めてきたが、文字列関数を対象として修正できるようカバレッジを拡大した。
正規表現や関数の実装における挙動などを理解しておらず、知識に乏しい場合も、文字列操作で開発者の意図に反した動作結果となることを防止し、開発時間の短縮や品質の向上を支援。開発の初期段階でバグへ対処できるため、修正コストの低減などにも寄与するとしている。
具体的には、プログラムに期待される入出力例を与えることで問題部分を特定。対象の文字列関数における動作をモデル化し、ECMAScript 2023準拠の理論モデルを用いて、すべての入出力例を満たす条件を効率的に導き出し、適切なパラメータ修正を自動的に行う。
現段階では、プログラム開発者が想定した文字列操作におけるバグ修正を行う技術にとどまり、想定を超えて誤動作を引き起こす第三者の入力により生じる脆弱性などには対応していない。引き続き研究を進めていくとしている。
(Security NEXT - 2024/11/29 )
ツイート
PR
関連記事
個人情報含むウェブフォームの管理者用URLを誤送信 - 宇都宮大
DTSグループのSIerにサイバー攻撃 - 情報漏洩の可能性
サポート詐欺でPCが遠隔操作、情報流出は調査中 - 作大
「PostgreSQL」にアップデート - 脆弱性修正で生じた不具合に対処
Cisco、セキュリティアドバイザリ3件を公開 - アップデートを提供
MAツール「Mautic」に脆弱性 - RCEやファイル削除おそれ
「GitLab」に複数の脆弱性 - アップデートをリリース
車上荒らしで個人情報含むPCが盗難被害 - 明治学院大
個人情報含む住宅地図を住民宅に誤投函 - 大阪市
学校Gウェア内で権限設定ミス、個人情報が閲覧可能に - さいたま市