やったこと

ReDoS

実験のためにひたすら正規表現を集めてる。
適当にsnyk.ioの脆弱性dbから、ReDoSになってるパッケージを集めてきたら、10000個くらい正規表現が集まった。
いい感じ。あとは実験をせねば。

それと1.1.0をリリースした。
主にfuzzingのときの攻撃文字列の構築の戦略を変更してる。
これまでは適当にリピート数を2倍にしていたのを、指数的、4乗的、3乗的、2乗的‥‥みたいな風に仮定してリピート数を決定するようにした。
これによってギリギリ脆弱性がありそうでない場合にタイムアウトしなくなったのと、擬似的に計算量が見積もれるようになった。
このアイディアは上手い気がする。