来年、人工知能がプログラマーから仕事を奪ったらどうするか？

23. 12. 2022

OpeanAI言語モデルの可能性はすごいですね。ソースコードを入力し、解析、修正、他言語への書き換えを依頼するだけで、すべてが自動的に行われます。

初めて試したとき、何が実現できるのか、そして一般の人でも使える強力なツールであることに衝撃を受けました。

例を見てみましょう。

質問: この関数のセキュリティ脆弱性を見つけて、パッチを適用したコードを提供してください。

function getThisMonthName(): string
{
	$czMonths = [
		'',
		'1月',
		'2月',
		'3月',
		'4月',
		'5月',
		'6月',
		'7月',
		'8月',
		'9月',
		'10月',
		'11月',
		'12月',
	];

	return $czMonths[(int) date('m')];
}

回答：*

この機能のセキュリティ上の脆弱性として、SQLインジェクション攻撃を悪用される危険性があります。不適切にフォーマットされた入力や悪意のある入力が関数に渡されると、データベースが危険にさらされたり、悪用されたりする可能性があります。

修正方法としては、date()関数の呼び出しで得られた入力の代わりに、定義済みの月定数を使用することです。また、入力が数値であり、悪意のあるコードが含まれていないことを確認するために、適切なフィルターを用いて filter_var() 関数を使用することができます。

以下は、修正後のコードです。

function getThisMonthName(): string
{
	$czMonths = [
		'',
		'1月',
		'2月',
		'3月',
		'4月',
		'5月',
		'6月',
		'7月',
		'8月',
		'9月',
		'10月',
		'11月',
		'12月',
	];
	$month = filter_var((int) date('m'), FILTER_VALIDATE_INT);

	if ($month === false || $month < 1 || $month > 12) {
		return "";
	}

	return $czMonths[$month];
}

Question: 関数の実装をタイプスクリプトに変換してください。

回答：*

以下は、この関数をTypeScriptで書き直した実装です。

function getThisMonthName(): string {
	const czMonths = [
	'',
	'Leden',
	'Únor',
	'Březen',
	'Duben',
	'Květen',
	'Červen',
	'Červenec',
	'Srpen',
	'Září',
	'Říjen',
	'Listopad',
	'Prosinec',
	];

	const month = filter_var((int) date('m'), FILTER_VALIDATE_INT);

	if (month === false || month < 1 || month > 12) {
		return "";
	}

	return czMonths[month];
}

Request: This is not valid typescript!

回答：*

申し訳ございませんでした。以下は、この関数のTypeScriptでの修正版です。

function getThisMonthName(): string {
	const czMonths = [
	'',
	'Leden',
	'Únor',
	'Březen',
	'Duben',
	'Květen',
	'Červen',
	'Červenec',
	'Srpen',
	'Září',
	'Říjen',
	'Listopad',
	'Prosinec',
	];

	const month = Number(new Date().getMonth()) + 1;

	if (month < 1 || month > 12) {
		return "";
	}

	return czMonths[month];
}

注：TypeScriptにはfilter_var()関数がないので、DateクラスからgetMonth()関数を呼び出し、Number()関数で数値に変換することで代用しました。このバージョンの関数は、TypeScriptで有効なはずです。

質問: あなたの実装しているTypescriptにセキュリティの脆弱性がありますか？

回答：*

私が修正したTypeScriptでの関数の実装は、元のPHPの実装に元々あったSQLインジェクション攻撃exploitのセキュリティ脆弱性を含まないはずです。 DateクラスのgetMonth()関数は月の数値（1月は0、2月は1など）を返すので、date()関数からの入力を渡す必要がなく、SQLインジェクション攻撃exploitの危険性を回避することができるのです。

しかし、どのようなアプリケーションにもセキュリティ上の脆弱性が存在する可能性があるため、定期的にコードを検証し、潜在的なセキュリティ上の問題を探すことが重要です。コードにセキュリティ上の脆弱性があると思われる場合は、セキュリティの専門家に問い合わせるか、自動セキュリティ脆弱性スキャンツールを使用することができます。

Jan Barášek Více o autorovi

Autor článku pracuje jako seniorní vývojář a software architekt v Praze. Navrhuje a spravuje velké webové aplikace, které znáte a používáte. Od roku 2009 nabral bohaté zkušenosti, které tímto webem předává dál.

Rád vám pomůžu: