CWEコンプライアンスへの対応

CWE TOP 25 最も危険なプログラミングエラー

「CWE 最も危険なプログラミングエラーTOP 25」は、CWE が中心となり、世界各国のセキュリティに関する組織や団体に所属する有識者の協力を得て、脆弱性の原因となる危険度の高いプログラミング エラー上位25個を選んだものです。 

CWEとは

CWE(Common Weakness Enumeration)とは、脆弱性の種類を識別するための共通の脆弱性タイプの一覧で、ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準を目指して作成されました。
CWEは、アメリカ国土安全保障省の国家サイバーセキュリティ部門の資金提供を受け、さまざまなセキュリティ脆弱性を体系的に分類し、識別子を付与して管理しています。

CWE TOP 25エラーの効果と影響

このTOP 25リストは、以下の社会的な効果と影響が期待されます。
  • ソフトウェアの購入者は、より安全なソフトウェアを購入できるようになる。
  • プログラマーは、自身が作成するソフトウェアのセキュリティを測るツールを入手できるようになる。
  • 教育機関は、より確実な根拠に基づいて安全なコーディングを教えることができるようになる。
  • 雇用者は、より安全なコードを書けるプログラマーを雇用できるようになる。

CWE TOP 25に含まれるエラー

TOP 25エラーは 次の3つのカテゴリに分類されています。
  1. セキュアでないコンポーネント間通信(Insecure Interaction Between Components)(9 項目)
  2. リソース管理の問題(Risky Resource Management)(9 項目)
  3. 不完全な防御策(Porous Defenses)(7 項目)
TOP 25の各エラーには、対応するCWEの識別子が付されており、CWEのサイトでエラーの内容、影響度や修正の難易度、予防および修正の方法などの詳細な記述を参照することができます。
参考HP:https://cwe.mitre.org/data/definitions/1200.html(CWEのサイトに遷移します。)

静的解析によるCWEコンプライアンスの実施

静的解析・単体テストツール「C++test」は、CWEガイドラインをサポート

「C++test」には、これらの脆弱性を検証するためのルールとコンフィギュレーションがあらかじめ用意されています。

  • CWE Top 25 2019
  • CWE Top 25 + On the Cusp 2019
「C++test」は、コード全体から脆弱性の原因となる場所をピンポイントで指摘します。また、開発者が脆弱性を修正するのに役立つドキュメントも用意されています。 「C++test」を使って定期的にコードを解析し、検出された違反を修正することで、すべての開発者が安全なコードを習慣的に作成できるようになります。
※ セキュリティルールおよびセキュリティコンプライアンス規約セットによる静的解析には「セキュリティコンプライアンスパック」のライセンス(有償)が必要です。

CWEコンプライアンス:ダッシュボード

CWEコンプライアンス:ダッシュボード


静的解析ツール・単体テストツール C++testに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ソフトウェアエンジニアリング事業部

    03-4405-7853

メールでのお問い合わせ
parasoft-info@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。