米Googleは5月8日(米国時間)、同社の公式ブログ「 Security Blog」の「OSS-Fuzz: Five months later, and rewarding projects」において、Googleが2016年12月に公開した「OSS-Fuzz」によって、オープンソースのソフトウェアにおいて1000個以上のバグが発見されたことを伝えた。そのうち4分の1は脆弱性につながる可能性のあるものだという。

「OSS-Fuzz」はさまざまなツールを組み合わせてファジングを実行し、オープンソースソフトウェアのバグを検知するツール。OSS-Fuzzによってこれまでは発見することができなかったバグを発見することが可能になると見られているが、今回、着実に成果を上げていることがわかった。ブログでは、発見されたバグの内訳が紹介されている。

「OSS-Fuzz」で発見されたバグの内訳

現在のソフトウェアは大小の差はあれかなり多くのものがオープンソースソフトウェアを取り込んでいることがわかっている。このため、特に人気の高いオープンソースソフトウェアのライブラリやコンポーネントに見つかったバグは、思いの外広い範囲に影響を与える状況になっている。GoogleはOSS-Fuzzの取り組みを通じて、オープンソースソフトウェアのバグ発見と修正を積極的に進める姿勢を示している。