Google、ファジング「OSS-Fuzz」でJavaをサポート

 Google(米Alphabet傘下)は3月10日、オープンソースソフトウェア向け継続的ファジングサービス「OSS-Fuzz」で、Java、およびKotlin、Scala、ClojureなどのJava仮想マシン(JVM)言語に対しても対象を拡大したことを発表した。

 OSS-FuzzはGoogleが2016年に発表したファジングサービス。オープンソースソフトウェアに対して、意図的に例外を発生させて不具合を見つけ出すテスト手法であるファジング機能を利用できる。

 Java、JVMベースの言語への拡大にあたり、GoogleはドイツCode Intelligenceと協力している。Code Intelligenceは2月にJVM向けのファジングエンジンとしてJazzerをオープンソースにしており、Googleはこれを統合した。JazzerはLLVMプロジェクトのファジングエンジンlibFuzzerを使ってJava、およびJVMベースの言語で書かれたコードのファジングができる。libFuzzerの主要機能をサポートしており、将来的には全ての機能を使えるようにする計画という。

 Googleによると、OSS-Fuzzingを使って2万5000件以上のバグを検出したという。JVM言語などメモリーセーフの言語で書かれたコードのファジングにより、クラッシュを招くようなバグを検出できるとしている。

OSS-Fuzz
https://google.github.io/oss-fuzz/