wolfSSLでは、日々膨大な量のテストを実施しています。その一部は目に見える形で実行され、一部は目に見えない形で実行されています。すべてのプルリクエストに対してGitHub Actionsが実行されていることは確認できますが、その裏側では、複数のプラットフォームにわたるより広範なテストを実行するプライベートなJenkins環境を構築しており、一部はオフィスに設置したハードウェア上でテストを行っています。
静的コード解析とファジングテストも実施しています。考えられるほぼすべてのツールを既に活用していると言っても過言ではありません。また、FenrirとSkollという非常に強力な自社開発のAI搭載静的解析ツールも使用しており、3つ目のAI搭載テストツールも近日中にリリース予定です。コードは手書きで記述していますが、テストにはAI搭載ツールを積極的に活用しています。なぜなら、私たちがそうしなければ、悪意のある攻撃者がそれを悪用するからです。
私たちのテストにおける次の段階は、目による検証です。コードは社内の同僚によるレビューに加え、セキュリティ研究者や業界専門家による社外レビューも受けています。また、コンプライアンス遵守のための複数の監査プロセスも経ています。問題が発見された場合は、迅速に対応します。報告から修正までの平均時間は36時間です。
wolfSSLだけでも約200万行のコードがあり、これは他のオープンソースプロジェクトや言語ラッパーを含める前の数値なので、このことは非常に重要です。
最近、Anthropic社のクリティカルソフトウェアの脆弱性発見のための新しい最先端モデルであるClaude Mythos Previewが大きな話題となり、その性能が謳い文句通りなのかどうかについて、活発な議論が交わされています。私たちはここ数週間、Anthropic社と協議を重ね、彼らはwolfSSLにMythosを適用しました。その結果、8件のCVEが特定され、wolfSSL 5.9.1のリリースにつながりました。私たちはすでにOpusなどのモデルを用いて毎月数千ドルをかけてテストを行っていますが、Mythosが発見した脆弱性はどれも検出できませんでした。
では、Mythosは宣伝通りの性能なのでしょうか?私たちのコードベースにおいては、間違いなくそうです。Rainbow of Testingの他のすべてのレイヤーをすり抜けていた実際の脆弱性を発見し、そのおかげでユーザーはより強固なwolfSSLを利用できるようになりました。 wolfSSLを本番環境で運用している場合は、今すぐバージョン5.9.1を入手してください。また、重要なソフトウェアを開発していて、自社コードに対するAIを活用した脆弱性検出をまだ検討していない場合は、今こそ検討すべき時です。なぜなら、相手側は既にそれを実行しているからです。Mythosを当社のコードに対して実行し、情報開示プロセスにおいて協力してくださったNicholas Carlini氏とAnthropicチームに感謝いたします。
さらに詳しい情報は、弊社問い合わせ窓口info@wolfssl.jpまでお問い合わせください。
原文:https://www.wolfssl.com/how-claude-mythos-preview-helped-harden-wolfssl/