インジェクション攻撃による被害を防ぐためのソフトウェア修正技術を世界にさきがけて実現 ～専門知識を持たない開発者でもソフトウェア開発段階で文字列操作の誤りを容易に修正～

[画像1]https://digitalpr.jp/simg/2341/97710/700_325_20241025120227671b0a43450f8.png


4．今後の展開
　サービスの運用段階におけるソフトウェアの誤りの修正には多大なコストがかかりますが、本技術が利用されていくことで、ソフトウェアの開発段階で誤りが修正できるため、コストの軽減と安全なサービスの実現が期待できます。またAIを用いたプログラムの自動生成において、非熟練者がAIを用いて作成したプログラムに含まれる誤りにどう対処するのかという新しい問題も生まれています。文字列操作の誤りを修正する本技術は、AIによる自動化のメリットを損なうことなくプログラムの安全性向上に寄与できるものと期待されます。今後は、文字列操作に伴う脆弱性そのものを修正する技術の研究を進める予定です。

【用語解説】
※1．ASE・・・Automated Software Engineering はIEEE/ACMによって運営されるソフトウェア工学分野の最難関国際会議。本技術は、2024年10月27日～11月1日に開催されるIEEE/ACM ASE 2024(39th IEEE/ACM International Conference on Automated Software Engineering )にて、下記のタイトル及び著者で発表されます。
タイトル：Repairing Regex-Dependent String Functions
著者：Nariyoshi Chida (NTT Social Informatics Laboratories), Tachio Terauchi (Waseda University)
URL: https://doi.org/10.1145/3691620.3695005
※2．正規表現・・・コンピュータで特定の文字の並び（文字列）をルールに基づき簡略化して表現する方法の1つで、特定の文字列のパターンを検索・抽出・置換するときに用いられる。
※3．プログラム中の文字列チェック機能の脆弱性を自動修正する技術を世界に先駆けて実現～専門知識をもたない開発者でもReDoS脆弱性の修正が容易に～[https://group.ntt/jp/newsrelease/2022/03/23/220323b.html
]
※4．プログラム中の文字列抽出機能を自動修正する技術を世界に先駆けて実現～専門知識をもたない開発者でも正規表現の修正が容易に～[https://group.ntt/jp/newsrelease/2023/06/16/230616b.html
]
※5．ECMAScript 2023・・・ECMAScriptは、Webアプリケーションなどで広く利用されているプログラミング言語JavaScriptの標準規格。本技術は2023年に改定されたECMAScriptを対象に検証を実施。
※6．Programming by Examples （PBE）メソッド・・・プログラミングの知識を持たないエンドユーザでもプログラムを生成できるようにする手法の1つで、プログラムが満たすべき入出力の例を与えると、それを実現するプログラムを自動で生成する技術。