Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Goで学ぶ Fuzzing

Avatar for TOC TOC
September 07, 2022
Programming
0
300

Goで学ぶ Fuzzing

Let's Go Talk #3 で LT 登壇した際の資料
https://connehito.connpass.com/event/257000/

Avatar for TOC

TOC

September 07, 2022
Tweet

More Decks by TOC

See All by TOC
仮説→実験→検証→学び... プロダクト開発を前に進めるためにMobius Outcome Deliveryを学び 実践していること
Avatar for TOC toc0522
3
3.4k
ファシリテーションLT ~良いファシリテーションをするために~
Avatar for TOC toc0522
0
450
もっと快適に! デプロイフロー改善への道!
Avatar for TOC toc0522
0
840
Go で Golden File Test
Avatar for TOC toc0522
1
1.1k

Other Decks in Programming

See All in Programming
The Past, Present, and Future of Enterprise Java with ASF in the Middle
Avatar for ivargrimstad ivargrimstad
0
110
テストカバレッジ100%を10年続けて得られた学びと品質
Avatar for もっち mottyzzz
2
590
請來的 AI Agent 同事們在寫程式時,怎麼用 pytest 去除各種幻想與盲點
Avatar for Keith Yang keitheis
0
120
今だからこそ入門する Server-Sent Events (SSE)
Avatar for NearMeの技術発表資料です nearme_tech
PRO
3
210
How Android Uses Data Structures Behind The Scenes
Avatar for HyunWoo Lee l2hyunwoo
0
450
FindyにおけるTakumi活用と脆弱性管理のこれから
Avatar for adachi.ryo rvirus0817
0
510
テストコードはもう書かない:JetBrains AI Assistantに委ねる非同期処理のテスト自動設計・生成
Avatar for makun makun
0
300
ProxyによるWindow間RPC機構の構築
Avatar for syumai syumai
3
1.2k
複雑なドメインに挑む.pdf
Avatar for Yuki Sakai yukisakai1225
5
1.2k
OSS開発者という働き方
Avatar for ANDPAD inc andpad
5
1.7k
2025 年のコーディングエージェントの現在地とエンジニアの仕事の変化について
Avatar for azukiazusa azukiazusa1
24
12k
ユーザーも開発者も悩ませない TV アプリ開発 ~Compose の内部実装から学ぶフォーカス制御~
Avatar for Daichi Takeya taked137
0
180

Featured

See All Featured
KATA
Avatar for Megan Lloyd mclloyd
32
14k
Faster Mobile Websites
Avatar for Dean Hume deanohume
309
31k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
48
50k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.4k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
252
21k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
696
190k
Code Review Best Practice
Avatar for Trisha Gee trishagee
70
19k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
9
810
What’s in a name? Adding method to the madness
Avatar for Product Marketing Alliance productmarketing
PRO
23
3.7k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
37
2.9k
Designing for Performance
Avatar for Lara Hogan lara
610
69k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
462
33k

Transcript

  1. 2022/09/07 Let’s Go Talk #3 TOC Goで学ぶ Fuzzing

  2. - TOC - コネヒト株式会社 - バックエンドエンジニア - 主にPHP - Go

    は趣味で勉強中 自己紹介

  3. - 入力されうるテストケースを大量に入力し、挙動を確認するテスト手法 - 意図しないデータが入力されたときに、挙動を調べることで不具合・脆弱 性の確認を行う - 想定外のデータを`ファズ`というらしい - テストをする立場だと、自分に都合のいいテストデータを選びがちである が、バイアスのかからないテストデータを利用できる

    Fuzzingってなに?

  4. - 元々 go-fuzz というツールがあったが、Go 1.18 から標準で機能として追 加された - go-fuzz は今まで334個のバグを見つけている(すごい!)

    - 既存のツールよりも簡単に、ユニットテストと同じように書けることを目指し た - ref. Design Draft: First Class Fuzzing Go 1.18 で追加されたFuzzing

  5. 実際のコード例 - seed corpus と呼ばれる 「種になるデータ」を入れる。未 指定もできるがパターンがわ かっているなら指定した方が信 頼できそう。 -

    テスト部分はユニットテストと 同様にはできない場合がある (=入力を予測できない)。元 に戻せるテストだったり、エ ラーが起きたかどうかで確認 する。

  6. ユニットテストと比較

  7. go-fuzz を使うと - func Fuzz(data []byte) int でテストデータ生成したり - `$

    go-fuzz-build` したり - `$ go-fuzz` したり と特有の処理、コマンドがあるっぽい

  8. 実際に実行すると - IDE だと GUI 上で -fuzz フ ラグをつけられて便利 -

    execs: 入力数。大量に実行 されていることがわかる - interesting: コードカバレッ ジが変化するような入力値。数 の増加は時間と共に鈍化。 実行

  9. 実際に実行すると - 失敗したテストケースは別 ファイルと記録される - 次回テストするときのテスト データとして用いられる - これも個別実行できるので デバッグに便利!

  10. - Go 標準の Fuzzing は既存のユニットテストっぽく書けるので学習コスト が小さそう - 自身のバイアスに囚われない、信頼できるテストケースを見つけられそう - Design

    Draft: First Class Fuzzing で思想を知るのは面白いので、他 のも見てみたい まとめ

  11. - Design Draft: First Class Fuzzing - Go1.18から追加されたFuzzingとは - フューチャー技術ブログ

    - Go Fuzzingによるファジングテスト/ランダムテスト - 絶対に落とせない!友人の結婚式の余興用アプリケーションをエラーゼロ で突破した - M3 Tech Blog 参考