SEI CERT C/C++
SEI CERT C/C++コーディングスタンダードへの対応
IoTデバイス普及により、組み込みソフトウェアが外部のネットワークに接続 することは、もはや当たり前の時代となっています。それと同時に、悪意のある 人物によるサイバー攻撃のリスクも高まっています。 例えば、自動車ソフトウェアのコード行数は1億行を超えると言われています。 そのような大規模で複雑なソフトウェアでは、セキュリティについて真剣に 考え始めなければなりません。
そこで、セキュリティ脆弱性のあるコードの作り込みを防止するための方策 として挙げられるのが「セキュアコーディング」です。 では、どの「セキュアコーディング」を採用するべきでしょうか? セキュアコーディングには多くのスタンダードが存在しますが、特に組み込み 機器や、セーフティクリティカルな製品に対しては、"SEI CERTコーディングスタンダード"がコードを保護するための優れた 選択肢の一つとなります。
そこで、セキュリティ脆弱性のあるコードの作り込みを防止するための方策 として挙げられるのが「セキュアコーディング」です。 では、どの「セキュアコーディング」を採用するべきでしょうか? セキュアコーディングには多くのスタンダードが存在しますが、特に組み込み 機器や、セーフティクリティカルな製品に対しては、"SEI CERTコーディングスタンダード"がコードを保護するための優れた 選択肢の一つとなります。
SEI CERTコーディングスタンダードとは
SEI CERT Cコーディングスタンダードとは、脆弱性につながる恐れのある危険なコーディング作法や未定義の動作を削減することを目的に、セキュリティの扱う研究・開発センターであるCERT Coordination CenterがまとめたC言語のコーディング規約です。C++言語のコーディング規約は、SEI CERT C++コーディングスタンダードです。セキュアコーディングには多くのスタンダードが存在しますが、特に組み込み機器や、セーフティクリティカルな製品に対しては、SEI CERT C/C++コーディングスタンダードがコードを保護するための優れた選択肢の一つとなります。セキュリティの高い堅牢な組み込みシステム開発をおこなう第一歩として、セキュアコーディングスタンダードに基づいた静的解析をおこなうことをオススメします。 静的解析は、現在の開発プロセスを変更することなく容易に実施が可能で、特に準備をする必要もなく始められます。 また、既存のソースコードに対して解析をおこなうことで、既存のソフトウェアの安全性を確認することもできます。
SEI CERT C/C++コーディングスタンダード コンプライアンスパック
SEI CERT C コーディングスタンダード(Rule)を完全対応
SEI CERT Cコーディングスタンダードには、従うべき「Rule」と、それほど重要ではない、または確実な検出が難しい「Recommendation」から構成されています。「C/C++test」は、SEI CERT CコーディングスタンダードのRuleに完全対応しています。SEI CERT Cコーディングスタンダードを採用することで、より品質が高く、堅牢で攻撃に耐えられるソフトウェアの開発が可能になります。
※コンプライアンス関連機能の使用には専用のライセンス(有償)が必要です。
SEI CERT C/C++コーディングスタンダード遵守用ダッシュボード
コンプライアンスパッケージを導入することにより、「C/C++test」による静的解析の結果からSEI CERT C/C++コーディングスタンダードに則った遵守サマリーレポートや逸脱のレポートをいつでも確認できるようになります。ガイドラインの遵守状況の説明責任を果たすことが容易になるだけでなく、未遵守箇所を早期に特定し必要な措置を講ずることにより、欠陥のあるソフトウェアに関連するビジネスリスクを排除することが可能になります。SEI CERT Cコーディングスタンダード遵守用ダッシュボード
SEI CERT C/C++コーディングスタンダードがコードをセキュアにするために最適な理由と、SEI CERT C/C++コーディングスタンダードに対応した静的解析・単体ツール「C/C++test」説明など、 より詳しい情報をホワイトペーパーにて公開しております。
これからセキュアコーディングへの対応を検討されている方、すでに取り組んでいるものの、セキュアコーディングの検証作業に苦労されている方、ぜひご確認ください。
これからセキュアコーディングへの対応を検討されている方、すでに取り組んでいるものの、セキュアコーディングの検証作業に苦労されている方、ぜひご確認ください。
PICK UP
イベント・セミナー
ニュース・キャンペーン
静的解析ツール・単体テストツール C/C++testに
関するお問い合わせ
テクマトリックス株式会社
東京本社ソフトウェアエンジニアリング事業部
03-4405-7853
- メールでのお問い合わせ
- parasoft-info@techmatrix.co.jp