CWE Top 25
CWE Top 25 最も危険なソフトウェアの弱点
CWE Top 25 最も危険なソフトウェアの弱点は、過去数年間で最も頻繁にみられ、影響力のある問題の上位25個をリストにしたものです。このリストは、定期的に更新され、最新版では、米国立標準技術研究所 (NIST)のNational Vulnerability Database (NVD)に登録されている Common Vulnerabilities and Exposures (CVE®) のデータと、Common Vulnerability Scoring System (CVSS) のスコアを活用し、各CVEのデータにスコアリングを行い、上位の25個を決めています。CWE Top 25の効果/影響
CWE Top 25が公表されたことにより、次に示す社会的な効果と影響が期待されます。ソフトウェアの購入者は、より安全なソフトウェアを購入できるようになる。
プログラマーは、自身が作成するソフトウェアのセキュリティを測るツールを入手できるようになる。
教育機関は、より確実な根拠に基づいて安全なコーディングを教えることができるようになる。
雇用者は、より安全なコードを書けるプログラマーを雇用できるようになる。
CWE Top 25の概要
25の各エラーには、対応するCWEの識別子が付されており、CWEのサイトでエラーの内容、影響度や修正の難易度、予防および修正の方法などの詳細な記述を参照することができます。| Rank | ID | Name |
|---|---|---|
| 1 | CWE-787 | Out-of-bounds Write |
| 2 | CWE-79 | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') |
| 3 | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') |
| 4 | CWE-20 | Improper Input Validation |
| 5 | CWE-125 | Out-of-bounds Read |
| 6 | CWE-78 | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') |
| 7 | CWE-416 | Use After Free |
| 8 | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') |
| 9 | CWE-352 | Cross-Site Request Forgery (CSRF) |
| 10 | CWE-434 | Unrestricted Upload of File with Dangerous Type |
| 11 | CWE-476 | NULL Pointer Dereference |
| 12 | CWE-502 | Deserialization of Untrusted Data |
| 13 | CWE-190 | Integer Overflow or Wraparound |
| 14 | CWE-287 | Improper Authentication |
| 15 | CWE-798 | Use of Hard-coded Credentials |
| 16 | CWE-862 | Missing Authorization |
| 17 | CWE-77 | Improper Neutralization of Special Elements used in a Command ('Command Injection') |
| 18 | CWE-306 | Missing Authentication for Critical Function |
| 19 | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer |
| 20 | CWE-276 | Incorrect Default Permissions |
| 21 | CWE-918 | Server-Side Request Forgery (SSRF) |
| 22 | CWE-362 | Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') |
| 23 | CWE-400 | Uncontrolled Resource Consumption |
| 24 | CWE-611 | Improper Restriction of XML External Entity Reference |
| 25 | CWE-94 | Improper Control of Generation of Code ('Code Injection') |
dotTESTのCWE Top 25サポート
dotTESTには、これらの脆弱性を検証するためのルールとコンフィギュレーションがあらかじめ用意されています。CWE Top 25は定期的にアップデートされていますが、dotTESTでも最新を追随するコンフィギュレーションが提供されています。- CWE Top 25 / CWE Top 25 + On the Cusp コンフィギュレーション
CWE Top 25 ダッシュボード
CWE Top 25 コンプライアンスレポート
※ セキュリティルールおよびセキュリティコンプライアンス規約セットによる静的解析には「セキュリティコンプライアンスパック」のライセンス(有償)が必要です。
イベント・セミナー
ニュース・キャンペーン
C# VB.NET対応 静的解析・動的解析 テストツール dotTESTに
関するお問い合わせ
テクマトリックス株式会社
東京本社ソフトウェアエンジニアリング事業部
03-4405-7853
- メールでのお問い合わせ
- parasoft-info@techmatrix.co.jp
