RSS トレイル・オブ・ビッツ ブログ
フォロー
新しいTesting Handbookの章で、CとC++をマスターしましょう
Testing Handbookに新たな章が追加され、CおよびC++コード向けのセキュリティチェックリストが提供されました。この章では、複数のプラットフォームにわたる一般的なバグ、落とし穴、APIの問題について詳しく説明しています。Linux、Windows、seccompの各セクションに分かれており、手動でのコードレビューに焦点を当てています。また、このチェックリストをバグ発見のためのプロンプトとして使用する、LLM(大規模言語モデル)ベースのツールも開発中です。読者のレビュー能力を試すために2つの課題が用意されており、早期に正解した提出者には賞品が贈られます。この章では、言語レベルの問題から始まり、プラットフォーム固有の問題へと進む、さまざまな脆弱性について解説しています。Linuxセクションではlibcの落とし穴、WindowsセクションではDLLインジェクションとパス走査の問題に焦点を当てています。seccompセクションでは、サンドボックスのバイパスについて扱います。ハンドブックは継続的に更新され、貢献も歓迎されています。課題は、シンプルなpingプログラムとWindowsドライバの脆弱性を特定することです。著者は、チェックリストベースのレビューはセキュリティの出発点であり、専門知識の代わりになるものではないと強調しています。
