Mayhem for Codeとは？

手動テスト作業を大幅に削減するファジングテスト

Mayhem for Code(メイヘム フォア コード)は、自律的にソフトウェアのバグや脆弱性を検出し、テスト作業を大幅に削減する単体・結合テスト対応ファジングツールです。

ファジングとは、ターゲットに大量のデータを入力し、その応答や挙動を監視するテスト手法です。Mayhem for Codeは、カーネギーメロン大学での10年間の研究から得た特許技術であるシンボリック実行エンジンとフィードバックループを組み合わせた独自のファジング技術を使用し、高精度なテストケースの生成とテストの実行を自動的に繰り返すことで、カバレッジを最大化しながらプログラムの奥深くに潜むバグや脆弱性を発見します。

Mayhem for Codeは膨大な数のテストを自動的に実行するため、開発者の労力やスキルに依存せず、バグや脆弱性の検出と高いカバレッジの実現を効率的に行うことができます。

Mayhem for Codeの5つの特長

ソフトウェア開発ライフサイクル(SDLC)のシフトレフト

Mayhem for Codeの優れた点のひとつは、ソフトウェア開発ライフサイクル(SDLC)の初期段階で活用できることです。通常、ファジングは開発の終盤で行われるテストの一部として使用されますが、Mayhem for Codeは単体・結合テストフェーズで利用できるため、ファジングのシフトレフトを実現します。 さらに、CIパイプラインに統合することで、DevSecOpsワークフローの一部として運用することも可能です。

継続的に分析し予期しない欠陥を発見

Mayhem for Codeは、テストを繰り返し行いながらプログラムの情報を取得していきます。Mayhem for Codeの学習が深まっていくにつれ、より深い欠陥の分析が可能となるとともに、テストのカバレッジ(網羅率)が最大化されます。

膨大なテストケースの自動生成

フィードバックループを用いたファジング手法に特許を取得したシンボリックエンジンを組み合わせた技術を利用して、アプリケーションの挙動に合わせてテストケースをカスタムしながら自動生成し、手動でのテストケース作成作業を大幅に削減します。自動生成されたテストケースによって、開発者は容易かつ継続的に単体・結合テストを強化することが可能です。

Mayhem for Codeに期待できること

Mayhem for Codeは、米国ForAllsecure, Inc.が開発した単体・結合テスト対応ファジングツールです。 航空宇宙、自動車、およびハイテク産業、米国国防省などのさまざまな開発現場で採用された実績があります。ソフトウェア開発サイクルにおける継続的なセキュリティテストを支援します。

• 自律的なテストケース生成とテストの自動実行により、手動テストの労力を大幅に削減
• 偽陽性ゼロのバグ・脆弱性の検出で効率的にソフトウェアの品質・セキュリティを向上
• 膨大なテストデータ生成でカバレッジを最大化