CWE TOP 25
- PCI DSS
- OWASP TOP 10
- CWE TOP 25 (本ページ)
CWE TOP 25の効果/影響
CWE TOP 25が公表されたことにより、次に示す社会的な効果と影響が期待されます。ソフトウェアの購入者は、より安全なソフトウェアを購入できるようになる。
プログラマーは、自身が作成するソフトウェアのセキュリティを測るツールを入手できるようになる。
教育機関は、より確実な根拠に基づいて安全なコーディングを教えることができるようになる。
雇用者は、より安全なコードを書けるプログラマーを雇用できるようになる。
CWE TOP25の概要
CWE TOP 25は 次の3つのカテゴリに分類されています。セキュアでないコンポーネント間通信
リソース管理の問題
不完全な防御策
25の各エラーには、対応するCWEの識別子が付されており、CWEのサイトでエラーの内容、影響度や修正の難易度、予防および修正の方法などの詳細な記述を参照することができます。
CWE TOP 25
セキュアでないコンポーネント間通信 | |
・CWE-20: | 不適切な入力の妥当性チェック |
・CWE-116: | 不適切なエンコード、または出力のエスケープ |
・CWE-89: | SQLクエリ構造が保護されない(「SQLインジェクション」) |
・CWE-78: | OSコマンド構造が保護されない(「OSコマンドインジェクション」) |
・CWE-79: | Webページ構造が保護されない(「クロスサイトスクリプティング」) |
・CWE-319: | 機密情報の平文転送 |
・CWE-352: | クロスサイトリクエストフォージェリ(CSRF) |
・CWE-362: | 競合状態 |
・CWE-209: | エラーメッセージ情報の漏洩 |
リソース管理の問題 | |
・CWE-119 | メモリバッファの範囲内での操作が制限されない |
・CWE-642: | クリティカルな状態データの外部制御 |
・CWE-73: | ファイル名やパス名の外部制御 |
・CWE-426: | 信頼性のない検索パス |
・CWE-94: | コード生成が制御されない(「コードインジェクション」) |
・CWE-494: | 完全性検査なしのコードダウンロード |
・CWE-404: | リソースの不適切なシャットダウンまたはリリース |
・CWE-665: | 不適切な初期化 |
・CWE-682: | 計算の誤り |
不完全な防御策 | |
・CWE-285: | 不適切なアクセス制御 (承認) |
・CWE-327: | 不完全、またはリスキーなアルゴリズムの使用 |
・CWE-259: | パスワードのハードコーディング |
・CWE-732: | 重要なリソースに対する安全性の低いアクセス権の割り当て |
・CWE-330: | 不十分なランダム値の使用 |
・CWE-250: | 不要な特権による実行 |
・CWE-602: | サーバサイドのセキュリティをクライアントサイドで適用 |
JtestのCWE TOP 25サポート
Jtestには、これらの脆弱性を検証するためのルールとコンフィギュレーションがあらかじめ用意されています- CWE Top 25 2019 / CWE Top 25 + On the Cusp 2019 コンフィギュレーション
※ セキュリティルールおよびセキュリティコンプライアンス規約セットによる静的解析には「セキュリティコンプライアンスパック」のライセンス(有償)が必要です。
PICK UP テクマトリックスからのオススメ
NEWS / CAMPAIGN ニュース・キャンペーン
Java対応静的解析・単体テストツール Jtestに
関するお問い合わせ
テクマトリックス株式会社
東京本社ソフトウェアエンジニアリング事業部
03-4405-7853
- メールでのお問い合わせ
- parasoft-info@techmatrix.co.jp
RELATED SERVICES / PRODUCTS 関連するサービス・製品
- HOME
- サービス/製品
- Java対応静的解析・単体テストツール Jtest
- CWE TOP 25