はい,タイトルそのまんまです.最新のBitVisorのソースコードを,最近publicレポジトリならタダで使えるようになったGitHub Code Scanningにかけてみました.コードをスキャンして,脆弱性などを自動的にみつけて報告してくれます.
まだよく調べていませんが,スキャンの処理と,脆弱性の報告などの他の処理を組み合わせてワークフローを構築するための機構も充実しているようです.
さあチェック!
結果は以下の通りです.
多くのソースコードを含むBitVisorのレポジトリ全体をスキャンしても,出たアラートは5つだけ.他と比較したわけではありませんが,BitVisorのコードは予想よりもかなりセキュアだと思いました.
出たアラートは具体的には以下の通り.潜在的に危険な関数の使用と,乗算結果の大きな型への変換です.
警告されている潜在的に危険な関数はgmtimeとlocaltimeです.すごく危ない関数ではないような.
乗算については3つとも,乗算結果がintにはいらずあふれるかもしれないよという警告です.対応する部分のソースコードを見てみたんですが,あふれることはなさそうに思いました.
セキュリティアドバイザリの個数は0ですので,そこを見ても何も出てきません.
「セキュアVM」という単語を久しぶりに思い出しました.
- INTERNET Watch 2016/10/11: インテルと筑波大学、政府主導の次世代OS環境「セキュアVM」開発で協力