Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Goで学ぶ Fuzzing
Search
TOC
September 07, 2022
Programming
0
280
Goで学ぶ Fuzzing
Let's Go Talk #3 で LT 登壇した際の資料
https://connehito.connpass.com/event/257000/
TOC
September 07, 2022
Tweet
Share
More Decks by TOC
See All by TOC
仮説→実験→検証→学び... プロダクト開発を前に進めるためにMobius Outcome Deliveryを学び 実践していること
toc0522
3
3.1k
ファシリテーションLT ~良いファシリテーションをするために~
toc0522
0
380
もっと快適に! デプロイフロー改善への道!
toc0522
0
780
Go で Golden File Test
toc0522
1
1k
Other Decks in Programming
See All in Programming
Java 24まとめ / Java 24 summary
kishida
3
390
リアクティブシステムの変遷から理解するalien-signals / Learning alien-signals from the evolution of reactive systems
yamanoku
2
1.2k
サービスクラスのありがたみを発見したときの思い出 #phpcon_odawara
77web
4
550
リアルタイムレイトレーシング + ニューラルレンダリング簡単紹介 / Real-Time Ray Tracing & Neural Rendering: A Quick Introduction (2025)
shocker_0x15
1
270
Denoでフロントエンド開発 2025年春版 / Frontend Development with Deno (Spring 2025)
petamoriken
1
1.3k
データベースエンジニアの仕事を楽にする。PgAssistantの紹介
nnaka2992
9
4.4k
リストビュー画面UX改善の振り返り
splcywolf
0
110
複数ドメインに散らばってしまった画像…! 運用中のPHPアプリに後からCDNを導入する…!
suguruooki
0
460
Coding Experience Cpp vs Csharp - meetup app osaka@9
harukasao
0
670
Preact、HooksとSignalsの両立 / Preact: Harmonizing Hooks and Signals
ssssota
1
1.2k
小さく段階的リリースすることで深夜メンテを回避する
mkmk884
2
150
The Weight of Data: Rethinking Cloud-Native Systems for the Age of AI
hollycummins
0
250
Featured
See All Featured
GraphQLの誤解/rethinking-graphql
sonatard
70
10k
Agile that works and the tools we love
rasmusluckow
328
21k
Designing for Performance
lara
607
69k
StorybookのUI Testing Handbookを読んだ
zakiyama
28
5.6k
GitHub's CSS Performance
jonrohan
1030
460k
The Cost Of JavaScript in 2023
addyosmani
48
7.6k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.4k
Being A Developer After 40
akosma
90
590k
Fontdeck: Realign not Redesign
paulrobertlloyd
83
5.5k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
12
640
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.8k
Why You Should Never Use an ORM
jnunemaker
PRO
55
9.3k
Transcript
2022/09/07 Let’s Go Talk #3 TOC Goで学ぶ Fuzzing
- TOC - コネヒト株式会社 - バックエンドエンジニア - 主にPHP - Go
は趣味で勉強中 自己紹介
- 入力されうるテストケースを大量に入力し、挙動を確認するテスト手法 - 意図しないデータが入力されたときに、挙動を調べることで不具合・脆弱 性の確認を行う - 想定外のデータを`ファズ`というらしい - テストをする立場だと、自分に都合のいいテストデータを選びがちである が、バイアスのかからないテストデータを利用できる
Fuzzingってなに?
- 元々 go-fuzz というツールがあったが、Go 1.18 から標準で機能として追 加された - go-fuzz は今まで334個のバグを見つけている(すごい!)
- 既存のツールよりも簡単に、ユニットテストと同じように書けることを目指し た - ref. Design Draft: First Class Fuzzing Go 1.18 で追加されたFuzzing
実際のコード例 - seed corpus と呼ばれる 「種になるデータ」を入れる。未 指定もできるがパターンがわ かっているなら指定した方が信 頼できそう。 -
テスト部分はユニットテストと 同様にはできない場合がある (=入力を予測できない)。元 に戻せるテストだったり、エ ラーが起きたかどうかで確認 する。
ユニットテストと比較
go-fuzz を使うと - func Fuzz(data []byte) int でテストデータ生成したり - `$
go-fuzz-build` したり - `$ go-fuzz` したり と特有の処理、コマンドがあるっぽい
実際に実行すると - IDE だと GUI 上で -fuzz フ ラグをつけられて便利 -
execs: 入力数。大量に実行 されていることがわかる - interesting: コードカバレッ ジが変化するような入力値。数 の増加は時間と共に鈍化。 実行
実際に実行すると - 失敗したテストケースは別 ファイルと記録される - 次回テストするときのテスト データとして用いられる - これも個別実行できるので デバッグに便利!
- Go 標準の Fuzzing は既存のユニットテストっぽく書けるので学習コスト が小さそう - 自身のバイアスに囚われない、信頼できるテストケースを見つけられそう - Design
Draft: First Class Fuzzing で思想を知るのは面白いので、他 のも見てみたい まとめ
- Design Draft: First Class Fuzzing - Go1.18から追加されたFuzzingとは - フューチャー技術ブログ
- Go Fuzzingによるファジングテスト/ランダムテスト - 絶対に落とせない!友人の結婚式の余興用アプリケーションをエラーゼロ で突破した - M3 Tech Blog 参考
toc0522
kishida
yamanoku
77web
shocker_0x15
petamoriken
nnaka2992
splcywolf
suguruooki
harukasao
ssssota
mkmk884
hollycummins
sonatard
rasmusluckow
lara
zakiyama
jonrohan
addyosmani
productmarketing
akosma
paulrobertlloyd
sergeychernyshev
kastner
jnunemaker
![go-fuzz を使うと - func Fuzz(data []byte) int でテストデータ生成したり - `$](https://files.speakerdeck.com/presentations/09088efe463e447aa63e7f92459f5135/slide_6.jpg){kind=link}
