Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Goで学ぶ Fuzzing

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for TOC TOC
September 07, 2022
Programming
0
300

Goで学ぶ Fuzzing

Let's Go Talk #3 で LT 登壇した際の資料
https://connehito.connpass.com/event/257000/

Avatar for TOC

TOC

September 07, 2022
Tweet

More Decks by TOC

See All by TOC
仮説→実験→検証→学び... プロダクト開発を前に進めるためにMobius Outcome Deliveryを学び 実践していること
Avatar for TOC toc0522
3
3.8k
ファシリテーションLT ~良いファシリテーションをするために~
Avatar for TOC toc0522
0
520
もっと快適に! デプロイフロー改善への道!
Avatar for TOC toc0522
0
890
Go で Golden File Test
Avatar for TOC toc0522
1
1.2k

Other Decks in Programming

See All in Programming
go directiveを最新にしすぎないで欲しい話──あるいは、Go 1.26からgo mod initで作られるgo directiveの値が変わる話 / Go 1.26 リリースパーティ
Avatar for Arthur arthur1
2
450
米国のサイバーセキュリティタイムラインと見る Goの暗号パッケージの進化
Avatar for tom twinkle tomtwinkle
2
410
Geminiの機能を調べ尽くしてみた
Avatar for yosshi naruyoshimi
0
190
並行開発のためのコードレビュー
Avatar for Miyuki miyukiw
2
2.2k
AI駆動開発の本音 〜Claude Code並列開発で見えたエンジニアの新しい役割〜
Avatar for hisuzuya hisuzuya
4
470
AI時代のソフトウェア開発でも「人が仕様を書く」から始めよう-医療IT現場での実践とこれから
Avatar for kouki.miura koukimiura
0
130
API Platformを活用したPHPによる本格的なWeb API開発 / api-platform-book-intro
Avatar for Takashi Kanemoto ttskch
1
120
Claude Code の Skill で複雑な既存仕様をすっきり整理しよう
Avatar for yuichiro_takahashi yuichirokato
1
270
nilとは何か 〜interfaceの構造とnil!=nilから理解する〜
Avatar for kuro kuro_kurorrr
3
1.6k
ご飯食べながらエージェントが開発できる。そう、Agentic Engineeringならね。
Avatar for yoko / Naoki Yokomachi yokomachi
1
280
The Past, Present, and Future of Enterprise Java
Avatar for ivargrimstad ivargrimstad
0
380
Go1.26 go fixをプロダクトに適用して困ったこと
Avatar for Hiroki Kurasawa kurakura0916
0
320

Featured

See All Featured
How to make the Groovebox
Avatar for あそなす asonas
2
2k
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
54k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
274
21k
SEO Brein meetup: CTRL+C is not how to scale international SEO
Avatar for Linda Hogenes lindahogenes
0
2.4k
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
31
10k
svc-hook: hooking system calls on ARM64 by binary rewriting
Avatar for Akira Moroo retrage
1
140
Organizational Design Perspectives: An Ontology of Organizational Design Elements
Avatar for Dr. Kim W Petersen kimpetersen
PRO
1
620
Paper Plane (Part 1)
Avatar for Katie Cordina Lindsey katiecoart
PRO
0
5.1k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
Avatar for r-kagaya rkaga
60
42k
State of Search Keynote: SEO is Dead Long Live SEO
Avatar for Ryan Jones ryanjones
0
150
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
35
2.4k

Transcript

  1. 2022/09/07 Let’s Go Talk #3 TOC Goで学ぶ Fuzzing

  2. - TOC - コネヒト株式会社 - バックエンドエンジニア - 主にPHP - Go

    は趣味で勉強中 自己紹介

  3. - 入力されうるテストケースを大量に入力し、挙動を確認するテスト手法 - 意図しないデータが入力されたときに、挙動を調べることで不具合・脆弱 性の確認を行う - 想定外のデータを`ファズ`というらしい - テストをする立場だと、自分に都合のいいテストデータを選びがちである が、バイアスのかからないテストデータを利用できる

    Fuzzingってなに?

  4. - 元々 go-fuzz というツールがあったが、Go 1.18 から標準で機能として追 加された - go-fuzz は今まで334個のバグを見つけている(すごい!)

    - 既存のツールよりも簡単に、ユニットテストと同じように書けることを目指し た - ref. Design Draft: First Class Fuzzing Go 1.18 で追加されたFuzzing

  5. 実際のコード例 - seed corpus と呼ばれる 「種になるデータ」を入れる。未 指定もできるがパターンがわ かっているなら指定した方が信 頼できそう。 -

    テスト部分はユニットテストと 同様にはできない場合がある (=入力を予測できない)。元 に戻せるテストだったり、エ ラーが起きたかどうかで確認 する。

  6. ユニットテストと比較

  7. go-fuzz を使うと - func Fuzz(data []byte) int でテストデータ生成したり - `$

    go-fuzz-build` したり - `$ go-fuzz` したり と特有の処理、コマンドがあるっぽい

  8. 実際に実行すると - IDE だと GUI 上で -fuzz フ ラグをつけられて便利 -

    execs: 入力数。大量に実行 されていることがわかる - interesting: コードカバレッ ジが変化するような入力値。数 の増加は時間と共に鈍化。 実行

  9. 実際に実行すると - 失敗したテストケースは別 ファイルと記録される - 次回テストするときのテスト データとして用いられる - これも個別実行できるので デバッグに便利!

  10. - Go 標準の Fuzzing は既存のユニットテストっぽく書けるので学習コスト が小さそう - 自身のバイアスに囚われない、信頼できるテストケースを見つけられそう - Design

    Draft: First Class Fuzzing で思想を知るのは面白いので、他 のも見てみたい まとめ

  11. - Design Draft: First Class Fuzzing - Go1.18から追加されたFuzzingとは - フューチャー技術ブログ

    - Go Fuzzingによるファジングテスト/ランダムテスト - 絶対に落とせない!友人の結婚式の余興用アプリケーションをエラーゼロ で突破した - M3 Tech Blog 参考