単体・結合テスト対応ファジングツール Mayhem for Code

ファズデータを活用した高精度なバグ・脆弱性検出とテストカバレッジの最大化

Mayhem for Codeは、自律的にソフトウェアのバグ・脆弱性を検出し、テスト作業を大幅に削減する単体・結合テスト対応ファジングツールです。開発者の労力やスキルに依存せず、バグや脆弱性の検出と高いカバレッジの実現します。

  • ソフトウェア品質保証
  • ソフトウェア品質向上
  • テスト自動化
  • セキュリティ

Mayhem for Codeとは?

手動テスト作業を大幅に削減するファジングテスト

Mayhem for Code(メイヘム フォア コード)は、自律的にソフトウェアのバグや脆弱性を検出し、テスト作業を大幅に削減する単体・結合テスト対応ファジングツールです。

ファジングとは、ターゲットに大量のデータを入力し、その応答や挙動を監視するテスト手法です。Mayhem for Codeは、カーネギーメロン大学での10年間の研究から得た特許技術であるシンボリック実行エンジンとフィードバックループを組み合わせた独自のファジング技術を使用し、高精度なテストケースの生成とテストの実行を自動的に繰り返すことで、カバレッジを最大化しながらプログラムの奥深くに潜むバグや脆弱性を発見します。

Mayhem for Codeは膨大な数のテストを自動的に実行するため、開発者の労力やスキルに依存せず、バグや脆弱性の検出と高いカバレッジの実現を効率的に行うことができます。

Mayhem for Code画面イメージ

Mayhem for Codeの5つの特長

ソフトウェア開発ライフサイクル(SDLC)のシフトレフト

Mayhem for Codeの優れた点のひとつは、ソフトウェア開発ライフサイクル(SDLC)の初期段階で活用できることです。通常、ファジングは開発の終盤で行われるテストの一部として使用されますが、Mayhem for Codeは単体・結合テストフェーズで利用できるため、ファジングのシフトレフトを実現します。 さらに、CIパイプラインに統合することで、DevSecOpsワークフローの一部として運用することも可能です。

Mayhem for Code構成のイメージ

Mayhem for Code構成のイメージ

検出されたセキュリティ脆弱性に偽陽性(False positive)が含まれない

報告されたすべての結果は、CWE(Common Weakness Enumeration)に関連する脆弱性の証拠として一覧で確認できます。また、シミュレーションではなく実際のアプリケーションを動的に解析するため、報告されるすべてのバグ・脆弱性に対して、開発者は偽陽性を考慮することなく修正作業に取り掛かることができます。

継続的に分析し予期しない欠陥を発見

Mayhem for Codeは、テストを繰り返し行いながらプログラムの情報を取得していきます。Mayhem for Codeの学習が深まっていくにつれ、より深い欠陥の分析が可能となるとともに、テストのカバレッジ(網羅率)が最大化されます。

膨大なテストケースの自動生成

フィードバックループを用いたファジング手法に特許を取得したシンボリックエンジンを組み合わせた技術を利用して、アプリケーションの挙動に合わせてテストケースをカスタムしながら自動生成し、手動でのテストケース作成作業を大幅に削減します。自動生成されたテストケースによって、開発者は容易かつ継続的に単体・結合テストを強化することが可能です。

Parasoft C/C++testとの連携

C言語/C++言語対応テストツール「Parasoft C/C++test」と連携することで高いシナジーを生み出すことができます。

従来、単体・結合テストのテストパターンは開発者が限られた時間のなかで検討するため、
  • 十分なテストパターンが考慮されていない
  • テストを通すためのテストになってしまう
など、形骸化してしまうケースもありました。

そこで、「Parasoft C/C++test」の単体テスト機能に、「Mayhem for code」のファジングの要素を取り入れることで、通常人手では考慮しきれない範囲を含む膨大なテストパターンを効率的にカバーできるようになります。また、「Parasoft C/C++test」のカバレッジ計測機能を活用できるため、C0、C1、MC/DCなどの9種類のカバレッジを計測し、実行されたファジング・テストの網羅性を可視化することも可能になります。

「Parasoft C/C++test」の詳細はこちら

Parasoft C/C++test連携

Mayhem for Codeに期待できること

Mayhem for Codeは、米国ForAllsecure, Inc.が開発した単体・結合テスト対応ファジングツールです。 航空宇宙、自動車、およびハイテク産業、米国国防省などのさまざまな開発現場で採用された実績があります。ソフトウェア開発サイクルにおける継続的なセキュリティテストを支援します。
  • 自律的なテストケース生成とテストの自動実行により、手動テストの労力を大幅に削減
  • 偽陽性ゼロのバグ・脆弱性の検出で効率的にソフトウェアの品質・セキュリティを向上
  • 膨大なテストデータ生成でカバレッジを最大化

単体・結合テスト対応ファジングツール Mayhem for Codeに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ソフトウェアエンジニアリング事業部

    03-4405-7853

メールでのお問い合わせ
se-info@techmatrix.co.jp

お問い合わせ

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。