CWEコンプライアンスへの対応

「CWE 最も危険なプログラミングエラーTOP 25」は、CWE が中心となり、世界各国のセキュリティに関する組織や団体に所属する有識者の協力を得て、脆弱性の原因となる危険度の高いプログラミング エラー上位25個を選んだものです。

CWE TOP 25 最も危険なプログラミングエラーの効果と影響

このTOP 25リストは、以下の社会的な効果と影響が期待されます。

• ソフトウェアの購入者は、より安全なソフトウェアを購入できるようになる。
• プログラマーは、自身が作成するソフトウェアのセキュリティを測るツールを入手できるようになる。
• 教育機関は、より確実な根拠に基づいて安全なコーディングを教えることができるようになる。
• 雇用者は、より安全なコードを書けるプログラマーを雇用できるようになる。

CWE TOP 25に含まれるエラー

TOP 25の各エラーは、対応するCWEの識別子(CWE-ID)が付されており、CWEのサイトでエラーの内容、影響度や修正の難易度、予防および修正の方法などの詳細な記述を参照することができます。
CWE-IDは、「Pillar」、「Class」、「Base」、「Variant」の4つの階層に分かれており、上位層になるほど抽象度が高いです。
また、脆弱性のタイプを、「View(ビュー)」、「Category(カテゴリ)」、「Weakness(脆弱性)」、「Compound Element(複合要因)」の4種類に分類しています。

参考HP：https://cwe.mitre.org/top25/(CWEのサイトに遷移します)

静的解析によるCWEコンプライアンスの実施

静的解析・単体テストツール「C/C++test」は、CWEガイドラインをサポート

「C/C++test」には、これらの脆弱性を検証するためのルールとコンフィギュレーションがあらかじめ用意されています。

• CWE Top 25 2022
• CWE Top 25 + On the Cusp 2022
• CWE Top 25 2023
• CWE Top 25 + On the Cusp 2023

「C/C++test」は、コード全体から脆弱性の原因となる場所をピンポイントで指摘します。また、開発者が脆弱性を修正するのに役立つドキュメントも用意されています。 「C/C++test」を使って定期的にコードを解析し、検出された違反を修正することで、すべての開発者が安全なコードを習慣的に作成できるようになります。
※ セキュリティルールおよびセキュリティコンプライアンス規約セットによる静的解析には「セキュリティコンプライアンスパック」のライセンス(有償)が必要です。