- 2023.05.29
-
ソフトウェア品質保証
単体・結合テスト対応ファジングツール「Mayhem for Code」の販売を開始
ファズデータを活用した高精度なバグ・脆弱性検出とテストカバレッジの最大化
テクマトリックス株式会社(本社:東京都港区、代表取締役社長:由利孝、以下「テクマトリックス」)は、米国 ForAllSecure, Inc.(本社:米国 ペンシルベニア州 、最高経営責任者:David Brumley、以下 「 ForAllSecure社」)が開発した単体・結合テスト対応ファジングツール「Mayhem for Code」の販売を2023年5月29日より開始します。
Mayhem for Code(メイヘム フォア コード)は、自律的にソフトウェアのバグや脆弱性を検出し、テスト作業を大幅に削減する単体・結合テスト対応したファジングツールです。ファジングとは、ターゲットに大量のデータを入力し、その応答や挙動を監視するテスト手法です。 Mayhem for Codeは、カーネギーメロン大学での10年間の研究から得た特許技術であるシンボリック実行エンジンとフィードバックループを組 み合わせた独自のファジング技術を使用し、高精度なテストケースの生成とテストの実行を 自動的に繰り返すことで、カバレッジを最大化しながらプログラムの奥深くに潜むバグや脆弱性を発見します。Mayhem for Codeは膨大な数のテストを自動的に実行するため、開発者の労力やスキルに依存せず、バグや脆弱性の検 出と高いカバレッジの実現を効率的に行うことができます。
Mayhem for Codeの優れた点の一つは、ソフトウェア開発ライフサイクル(SDLC)の初期段階での活用が可能であることです。通常、ファジングは開発の終盤で行われるテストの一部として使用されますが、Mayhem for Codeは単体・結合テストフェーズで利用できるため、ファジングのシフトレフトを実現します。さらに、CIパイプラインに統合することで、DevSecOpsワークフローの一部として運用することも可能です。
また、Mayhem for CodeとC/C++言語対応テストツール「Parasoft C++test」の単体テスト機能との連携により、それぞれのツールの利点を組み合わせた効率的なテストカバレッジの拡充が可能なテストソリューションを提供します。ファジングの要素を単体テストケース生成に取り入れることで、膨大なテストパターンを効率的にカバーするだけでなく、テストツールのカバレッジ計測機能によってテストの網羅性を可視化することもできます。
Mayhem for Codeの構成イメージ
Mayhem for Codeの特長
継続的に分析し、 予期しない 欠陥を発見
Mayhem for Codeは、テストを繰り返し行いながらプログラムの情報を取得していきます。Mayhem for Codeの学習が深まっていくにつれ、より深い欠陥の分析が可能になるとともに、テストのカバレッジ(網羅率)が最大化されます。検出された バグ・ 脆弱性に偽陽性( False positive)が含まれない
報告されたすべての結果は、CWE(Common Weakness Enumeration)に関連する脆弱性の証拠として一覧で確認できます。また、シミュレーションではなく実際のアプリケーションを動的に解析するため、報告されるすべてのバグ・脆弱性に対して、開発者は偽陽性を考慮することなく修正作業に取り掛かることができます。膨大なテストケースの自動生成
フィードバックループを用いたファジング手法に特許を取得したシンボリック実行エンジンを組み合わせた技術を利用して、アプリケーションの挙動に合わせてテストケースをカスタムしながら自動生成し、手動でのテストケース作成作業を大幅に削減します。自動生成されたテストケースによって、開発者は容易かつ継続的に単体・結合テストを強化することが可能です。ソフトウェア開発ライフサイクル(SDLC)のシフトレフト
ソフトウェア開発ライフサイクル(SDLC)の初期段階でのファジング・テストを容易にし、ソフトウェアのバグ・脆弱性を早期に検出することができます。また、CIパイプラインに統合して、DevSecOpsワークフローの一部として継続的にテストを行うことも可能です。Parasoft C++testと連携することによるテストソリューション
Parasoft社のC言語/C++言語対応テストツール「Parasoft C++test」の単体テスト機能と連携させることで高いシナジーを生み出すことができます。従来、単体・結合テストのテストパターンは開発者が限られた時間のなかで検討するため、十分なテストパターンが考慮されていない、テストを通すためのテストになってしまうなど、形骸化してしまうケースもありました。Mayhem for codeと連携することで、そこにファジングの要素を取り入れ、通常人手では考慮しきれない範囲を含む膨大なテストパターンを効率的にカバーできるようになります。また、Parasoft C++testのカバレッジ計測機能を活用できるため、C0、C1、MC/DCなどの9種類のカバレッジを計測し、実行されたファジング・テストの網羅性を可視化することも可能になります。※Parasoft C++testの詳細はこちらをご確認ください。
販売開始日
- 販売開始日:2023年5月29日
- 出荷開始日:2023年5月29日
Mayhem for Code の詳細はこちらをご参照ください。
このページをPDFファイルでご覧いただく場合は、下の[ダウンロード]をクリックしてください。
関連するサービス・製品
本件についてお問い合わせ
テクマトリックス株式会社
東京本社ソフトウェアエンジニアリング事業部
03-4405-7853
- メールでのお問い合わせ
- se-info@techmatrix.co.jp