CERT C/C++セキュアコーディングへの準拠

組み込みシステムにおけるセキュアコーディング

「C++test」はCERT Cコーディングスタンダード(Rule)を完全対応

C++testは、CERT C コーディングスタンダード(Rule)を完全対応
IoTデバイス普及により、組み込みソフトウェアが外部のネットワークに接続することは、もはや当たり前の時代となっています。それと同時に、悪意のある人物によるサイバー攻撃のリスクも高まっています。例えば、自動車ソフトウェアのコード行数は1億行を超えると言われています。そのような大規模で複雑なソフトウェアでは、セキュリティについて真剣に考え始めなければなりません。
そこで、セキュリティ脆弱性のあるコードの作り込みを防止するための方策として挙げられるのが「セキュアコーディング」です。

CERT C セキュアコーディングの推進に静的解析ツールを活用すべき理由

CERT C/C++セキュアコーディングスタンダードとは、脆弱性につながる恐れのある危険なコーディング作法や未定義の動作を削減することを目的に、セキュリティの扱う研究・開発センターであるCERT/CCがまとめたC/C++言語のコーディング規約です。セキュアコーディングには多くのスタンダードが存在しますが、特に組み込み機器や、セーフティクリティカルな製品に対しては、「CERT C/C++セキュアコーディングスタンダード」がコードを保護するための優れた選択肢の一つとなります。
セキュリティの高い堅牢な組み込みシステム開発をおこなう第一歩として、セキュアコーディングスタンダードに基づいた静的解析をおこなうことをオススメします。 静的解析は、現在の開発プロセスを変更することなく容易に実施が可能で、特に準備をする必要もなく始められます。 また、既存のソースコードに対して解析をおこなうことで、既存のソフトウェアの安全性を確認することもできます。

CERT C コーディングスタンダード(Rule)を完全対応

C++testは静的解析(コーディング規約チェック/フロー解析)、単体テスト、カバレッジ計測、実行時メモリエラー機能などを搭載したC言語/C++言語対応オールインワンテストツールです。車載機器、産業機器、医療機器、OA機器といった組み込みソフトウェアの開発や、ミドルウェアの開発、Windows/Linuxアプリケーションの開発など、さまざまな現場で利用されています。 C++testの静的解析機能には、セキュリティに関するルールセットが標準搭載されており、工数をかけることなく静的解析を実施することができます。

CERT Cコーディングスタンダードには、従うべき「Rule」と、それほど重要ではない、または確実な検出が難しい「Recommendation」から構成されています。C++testは、CERT CコーディングスタンダードのRuleに完全対応しています。CERT Cコーディングスタンダードを採用することで、より品質が高く、堅牢で攻撃に耐えられるソフトウェアの開発が可能になります。また、C++言語向けCERT C++コーディングスタンダードやAUTOSAR C++14コーディングガイドラインも対応しています。
※コンプライアンス関連機能の使用には専用のライセンス(有償)が必要です。

組み込みシステムにおけるセキュアコーディング

組み込みシステムにおけるセキュアコーディング:イメージ図

コンプライアンスパック:CERT C/C++コーディングスタンダード

コンプライアンスパッケージを導入することにより、C++testによる静的解析の結果からCERT C/C++コーディングスタンダードに則った遵守サマリーレポートや逸脱のレポートをいつでも確認できるようになります。ガイドラインの遵守状況の説明責任を果たすことが容易になるだけでなく、未遵守箇所を早期に特定し必要な措置を講ずることにより、欠陥のあるソフトウェアに関連するビジネスリスクを排除することが可能になります。

CERT C遵守用ダッシュボード

CERT C遵守用ダッシュボード

CERT Cコンプライアンスレポート

CERT Cコンプライアンスレポート

CERT Cコーディングスタンダードがコードをセキュアにするために最適な理由と、CERT Cコーディングスタンダードに対応した静的解析・単体ツール「C++test」説明など、 より詳しい情報をホワイトペーパーにて公開しております。
これから「セキュアコーディング」への対応を検討されている方、すでに取り組んでいるものの、セキュアコーディングの検証作業に苦労されている方、ぜひご確認ください。

静的解析・単体テストツールを無償体験版をお試しください

静的解析・単体テストツールを無償体験版をお試しください。
すべての機能を無償で14日間ご利用可能、すぐにご評価可能なチュートリアル付属!
ご評価を円滑に進めるための、技術的なサポート対応あり!

静的解析・単体テストツール C++testに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    システムエンジニアリング事業部
    ソフトウェアエンジニアリング営業部

    03-4405-7853

メールでのお問い合わせ
parasoft-info@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。