AWS は最近、ソフトウェアの脆弱性を見つけるための新しいファジングツールと、アプリケーションアクセスを制御するための認証ポリシー言語の 2 つのプロジェクトをオープンソース化すると発表しました。

AWSは、Linux Foundationの年次オープンソースサミットで、セキュリティに重点を置いたこれらの新しいツールを発表しました。AWSによると、SnapChangeは開発者や研究者が「スナップショットファジング」を実験できる新しいファジングツールです。

ファジングは、ソフトウェア、特にオープンソースプロジェクトのセキュリティ問題を発見するために用いられる手法です。例えば、画像をレンダリングするアプリケーション用のサンプルJPEGファイルを変更し、そのファイルをアプリケーションで開くなど、ランダムデータを処理する際のシステムの動作を監視します。アプリケーションがクラッシュした場合、セキュリティ上の問題がある可能性があります。

AWSのオープンソース戦略およびマーケティング担当ディレクター、David Nalley氏は、SnapChangeはこのコンセプトに基づいて構築されており、最小限の変更で対象アプリケーションをファジングできると述べています。同氏によると、ファジングツールは業界で広く使用されており、「近年、数百ものセキュリティ脆弱性の根絶に貢献してきた」とのことです。

ナリー氏は、SnapChangeが唯一のファジングツールではないものの、そのユニークな特徴は、基盤となるLinuxカーネルの書き換えや、カーネルベースの仮想マシンの修正を必要としないことだと説明した。既存のLinuxカーネルと既存のKVMで動作するため、導入のハードルが低く、数十個のプロセッサコアまで拡張可能だ。「SnapChangeはファジングをより効率的にするだろう」と彼は述べた。

彼によると、SnapChangeは当初、独立したプロジェクトとして開発するつもりはなかったという。AWSのFind & Fix（F2）脅威調査チームによって開発されたもので、同チームの任務は脆弱性の発見だけでなく、パッチ適用も行うことだ。「チームは大規模なセキュリティ調査のために多くのツールを開発する必要があり、これはその一つです」と彼は述べた。

AWSはSnapChangeに新機能や機能を追加することでサポートしていく予定ですが、ナリー氏は、長期的には研究コミュニティと協力してより堅牢なツールを構築したいと考えていると述べました。「AWSはオープンソースのサプライチェーンセキュリティに強い関心を持っており、オープンソースという共通の使命を共有しています。」

今回リリースされた2つ目のツールは、Amazon Verified Permissions および AWS Verified Access マネージドサービスで使用される認可ポリシー言語である Cedar です。

Cedarは、アプリケーションの認可ポリシーの作成と実装に使用されるオープンソース言語であり、ソフトウェア開発キット（SDK）でもあります。開発者はCedarを使用することで、写真共有アプリケーションの画像、マイクロサービスクラスタのコンピューティングノード、ワークフロー自動化プラットフォームのコンポーネントなどのリソースへのアクセスを制御できます。その柔軟性により、開発者はきめ細かな権限をCedarポリシーとして指定し、Cedar SDKの認可エンジンを呼び出すことでアクセス要求を認可できます。

ナリー氏によると、Cedarのポリシー言語は数学的証明を用いた「自動推論」という概念に基づいて記述されているという。自動推論はテスト駆動開発の域を超え、数学を用いてポリシーが開発者の要求通りに動作することを確認する。ナリー氏によると、自動化を最大化することで、ポリシーと制約の正確性を確保することが容易になるという。「既存の数学的証明を用いて、プログラムが特定の方法で動作することを証明できるのです」とナリー氏は説明する。

Cedar は数学的証明を通じてすべてを自動化することはできませんが、開発者が戦略が失敗するエッジケースのみのテストに集中できるため便利です。

ナリー氏は、AWSがCedarをオープンソース化した主な目的は透明性であり、開発者が期待通りに動作することを確認できるようにするためだと述べた。「お客様にはCedarが期待通りに動作すると信頼していただきたいと思っています。そして、実際に使ってみて、その仕組みを詳しく理解していただきたいのです。」