ベリサーブ、ForAllSecureのソースコード/APIファジングツール「Mayhem」を提供開始

　株式会社ベリサーブは20日、米ForAllSecureのソースコード/APIファジングツール「Mayhem（メイヘム）」を提供開始すると発表した。

　Mayhemは、欠陥を特定するための何千ものテストケース（ファズ）の生成・実行を自動化できる、ソースコード/APIファジングツール。

　ソースコードファジングでは、ソースコードに問題を起こしそうなデータ（ファズ）を入力し、ソフトウェアの脆弱性を自動的に検出できる。カーネギーメロン大学の研究から得た特許技術である「シンボリック実行（Symbolic execution）」技術を用いて、ファズデータの生成と実行を自動化させることで、高速かつ大規模、高精度に欠陥を検出できるという。

　ツールでは、ファジングの進行状況と検出された欠陥をリアルタイムで確認できるほか、見つかった欠陥情報のサマリーをダッシュボードで確認可能。実行したテストケースの一覧でも確認を行えるとした。

　一方APIファジングでは、OpenAPIのようなAPI仕様をもとに、各エンドポイントに対するファジングを実行する。このテストでは、各APIが予期せぬ入力や異常なデータに対してどう反応するかを調査し、その結果を通じてAPIの脆弱性や欠陥を特定するとのことだ。なお、開発ライフサイクルを通じて連続的なテストを提供し、新たなバグや脆弱性が追加されるたびに即座に通知する機能も備えた。

　なおMayhemの提供開始にあわせ、ベリサーブでは9月27日にファジングについての無料オンラインセミナーを開催する。ForAllSecureのエンジニアを講師に迎え、オープンソースソフトウェア（OSS）の例を用いた解説およびデモンストレーションを行うとのことだ。