CWE Top 25 最も危険なソフトウェアの弱点は、過去数年間で最も頻繁にみられ、影響力のある問題の上位25個をリストにしたものです。このリストは、定期的に更新され、最新版では、米国立標準技術研究所 (NIST)のNational Vulnerability Database (NVD)に登録されている Common Vulnerabilities and Exposures (CVE®) のデータと、Common Vulnerability Scoring System (CVSS) のスコアを活用し、各CVEのデータにスコアリングを行い、上位の25個を決めています。

CWE Top 25の効果/影響

CWE Top 25が公表されたことにより、次に示す社会的な効果と影響が期待されます。

• ソフトウェアの購入者は、より安全なソフトウェアを購入できるようになる。
• プログラマーは、自身が作成するソフトウェアのセキュリティを測るツールを入手できるようになる。
• 教育機関は、より確実な根拠に基づいて安全なコーディングを教えることができるようになる。
• 雇用者は、より安全なコードを書けるプログラマーを雇用できるようになる。

CWE Top25の概要

25の各エラーには、対応するCWEの識別子が付されており、CWEのサイトでエラーの内容、影響度や修正の難易度、予防および修正の方法などの詳細な記述を参照することができます。

Rank	ID	Name
1	CWE-787	Out-of-bounds Write
2	CWE-79	Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
3	CWE-89	Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
4	CWE-20	Improper Input Validation
5	CWE-125	Out-of-bounds Read
6	CWE-78	Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
7	CWE-416	Use After Free
8	CWE-22	Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
9	CWE-352	Cross-Site Request Forgery (CSRF)
10	CWE-434	Unrestricted Upload of File with Dangerous Type
11	CWE-476	NULL Pointer Dereference
12	CWE-502	Deserialization of Untrusted Data
13	CWE-190	Integer Overflow or Wraparound
14	CWE-287	Improper Authentication
15	CWE-798	Use of Hard-coded Credentials
16	CWE-862	Missing Authorization
17	CWE-77	Improper Neutralization of Special Elements used in a Command ('Command Injection')
18	CWE-306	Missing Authentication for Critical Function
19	CWE-119	Improper Restriction of Operations within the Bounds of a Memory Buffer
20	CWE-276	Incorrect Default Permissions
21	CWE-918	Server-Side Request Forgery (SSRF)
22	CWE-362	Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')
23	CWE-400	Uncontrolled Resource Consumption
24	CWE-611	Improper Restriction of XML External Entity Reference
25	CWE-94	Improper Control of Generation of Code ('Code Injection')

JtestのCWE Top 25サポート

Jtestには、これらの脆弱性を検証するための静的解析用ルールとコンフィギュレーションがあらかじめ用意されています。CWE Top 25は定期的にアップデートされていますが、Jtestでも最新に追随するコンフィギュレーションが提供されています。

• CWE Top 25 コンフィギュレーション
• CWE Top 25 / CWE Top 25 + On the Cusp コンフィギュレーション

Jtestの静的解析は、コード全体から脆弱性の原因となる場所をピンポイントで指摘します。また、Jtest が検出した脆弱性を修正するのに役立つドキュメントも用意されています。Jtestを使って定期的にコードを解析し、検出された違反を修正することで、すべての開発者が安全なコードを習慣的に作成できるようになります。また、Parasoft DTPを利用することで、コンプライアンスの順守／逸脱レポートをリアルタイムで参照することができます。

※ セキュリティルールおよびセキュリティコンプライアンス規約セットによる静的解析には「セキュリティコンプライアンスパック」のライセンス(有償)が必要です。