Jtest Security-Java対応ソースコードセキュリティ検証ツール-
CWE/SANS TOP 25
「CWE/SANS最も危険なプログラミングエラーTOP 25」は、CWEおよびSANS が中心となり、世界各国のセキュリティに関する組織や団体に所属する有識者の協力を得て、脆弱性の原因となる危険度の高いプログラミング エラー上位25個を選んだものです。
CWE(Common Weakness Enumeration)は、アメリカ国土安全保障省の国家サイバーセキュリティ部門の資金提供を受け、さまざまなセキュリティ脆弱性を体系的に分類し、識別子を付与して管理しています。
SANSは、世界的なセキュリティ研究・教育機関であり、日本を含む世界各国でセキュリティ トレーニング コースの開催や GIAC(Global Information AssuranceCertification)試験の実施などの活動を行なっています。
CWE/SANS TOP 25の効果/影響
CWE/SANS TOP 25が公表されたことにより、次に示す社会的な効果と影響が期待されます。
- ソフトウェアの購入者は、より安全なソフトウェアを購入できるようになる。
プログラマーは、自身が作成するソフトウェアのセキュリティを測るツールを入手できるようになる。
教育機関は、より確実な根拠に基づいて安全なコーディングを教えることができるようになる。
雇用者は、より安全なコードを書けるプログラマーを雇用できるようになる。
CWE/SANS TOP25の概要
CWE/SANS TOP 25は 次の3つのカテゴリに分類されています。
- セキュアでないコンポーネント間通信
- リソース管理の問題
- 不完全な防御策
25の各エラーには、対応するCWEの識別子が付されており、CWEのサイトでエラーの内容、影響度や修正の難易度、予防および修正の方法などの詳細な記述を参照することができます。
 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Jtset SecurityのCWE/SANS TOP 25サポート
Jtest Security には、これらの脆弱性を検証するためのルールとコンフィギュレーションがあらかじめ用意されています
- CWE-SANS Top 25 Most Dangerous Programming Errors コンフィギュレーション
Jtest Securityは、コード全体から脆弱性の原因となる場所をピンポイントで指摘します。また、開発者が脆弱性を修正するのに役立つドキュメントも用意されています。Jtest Security を使って定期的にコードを解析し、検出された違反を修正することで、すべての開発者が安全なコードを習慣的に作成できるようになります。
| |||||||||
