CWEコンプライアンスへの対応

「CWE 最も危険なプログラミングエラーTOP 25」は、CWE が中心となり、世界各国のセキュリティに関する組織や団体に所属する有識者の協力を得て、脆弱性の原因となる危険度の高いプログラミング エラー上位25個を選んだものです。

CWE TOP 25 最も危険なプログラミングエラーの効果と影響

このTOP 25リストは、以下の社会的な効果と影響が期待されます。

• ソフトウェアの購入者は、より安全なソフトウェアを購入できるようになる。
• プログラマーは、自身が作成するソフトウェアのセキュリティを測るツールを入手できるようになる。
• 教育機関は、より確実な根拠に基づいて安全なコーディングを教えることができるようになる。
• 雇用者は、より安全なコードを書けるプログラマーを雇用できるようになる。

CWE TOP 25に含まれるエラー

TOP 25エラーは 次の3つのカテゴリに分類されています。

1. セキュアでないコンポーネント間通信(Insecure Interaction Between Components)(9 項目)
2. リソース管理の問題(Risky Resource Management)(9 項目)
3. 不完全な防御策(Porous Defenses)(7 項目)

TOP 25の各エラーには、対応するCWEの識別子が付されており、CWEのサイトでエラーの内容、影響度や修正の難易度、予防および修正の方法などの詳細な記述を参照することができます。
参考HP：https://cwe.mitre.org/data/definitions/1387.html(CWEのサイトに遷移します。)

静的解析によるCWEコンプライアンスの実施

静的解析・単体テストツール「C/C++test」は、CWEガイドラインをサポート

「C/C++test」には、これらの脆弱性を検証するためのルールとコンフィギュレーションがあらかじめ用意されています。

• CWE Top 25 2019
• CWE Top 25 + On the Cusp 2019
• CWE Top 25 2022
• CWE Top 25 + On the Cusp 2022

「C/C++test」は、コード全体から脆弱性の原因となる場所をピンポイントで指摘します。また、開発者が脆弱性を修正するのに役立つドキュメントも用意されています。 「C/C++test」を使って定期的にコードを解析し、検出された違反を修正することで、すべての開発者が安全なコードを習慣的に作成できるようになります。
※ セキュリティルールおよびセキュリティコンプライアンス規約セットによる静的解析には「セキュリティコンプライアンスパック」のライセンス(有償)が必要です。