プロパティベーステストが見つけた、私が決して発見できなかったセキュリティバグ

ツイート

本記事では、Kiro の仕様駆動開発ワークフローを使用したチャットアプリケーション開発において、プロパティベーステスト（PBT）が従来のテスト手法では発見困難なセキュリティバグをどのように発見したかをお伝えします。75 回目のテスト反復で __proto__ というプロバイダー名が JavaScript プロトタイプの誤った処理を露呈し、ランダム生成による体系的な入力空間の探索が、手動コードレビューや単体テストでは見逃されるエッジケースを効果的に発見できることを実例とともに紹介します。