• PCI DSS
• OWASP TOP 10
• CWE TOP 25 (本ページ)

「CWE 最も危険なプログラミングエラーTOP 25」は、CWE が中心となり、世界各国のセキュリティに関する組織や団体に所属する有識者の協力を得て、脆弱性の原因となる危険度の高いプログラミング エラー上位25個を選んだものです。 CWE(Common Weakness Enumeration)は、アメリカ国土安全保障省の国家サイバーセキュリティ部門の資金提供を受け、さまざまなセキュリティ脆弱性を体系的に分類し、識別子を付与して管理しています。

CWE TOP 25の効果/影響

CWE TOP 25が公表されたことにより、次に示す社会的な効果と影響が期待されます。

ソフトウェアの購入者は、より安全なソフトウェアを購入できるようになる。
プログラマーは、自身が作成するソフトウェアのセキュリティを測るツールを入手できるようになる。
教育機関は、より確実な根拠に基づいて安全なコーディングを教えることができるようになる。
雇用者は、より安全なコードを書けるプログラマーを雇用できるようになる。

CWE TOP25の概要

CWE TOP 25は 次の3つのカテゴリに分類されています。

セキュアでないコンポーネント間通信
リソース管理の問題
不完全な防御策

25の各エラーには、対応するCWEの識別子が付されており、CWEのサイトでエラーの内容、影響度や修正の難易度、予防および修正の方法などの詳細な記述を参照することができます。

CWE TOP 25

セキュアでないコンポーネント間通信
・CWE-20:	不適切な入力の妥当性チェック
・CWE-116:	不適切なエンコード、または出力のエスケープ
・CWE-89:	SQLクエリ構造が保護されない(「SQLインジェクション」)
・CWE-78:	OSコマンド構造が保護されない(「OSコマンドインジェクション」)
・CWE-79:	Webページ構造が保護されない(「クロスサイトスクリプティング」)
・CWE-319:	機密情報の平文転送
・CWE-352:	クロスサイトリクエストフォージェリ(CSRF)
・CWE-362:	競合状態
・CWE-209:	エラーメッセージ情報の漏洩
リソース管理の問題
・CWE-119	メモリバッファの範囲内での操作が制限されない
・CWE-642:	クリティカルな状態データの外部制御
・CWE-73:	ファイル名やパス名の外部制御
・CWE-426:	信頼性のない検索パス
・CWE-94:	コード生成が制御されない(「コードインジェクション」)
・CWE-494:	完全性検査なしのコードダウンロード
・CWE-404:	リソースの不適切なシャットダウンまたはリリース
・CWE-665:	不適切な初期化
・CWE-682:	計算の誤り
不完全な防御策
・CWE-285:	不適切なアクセス制御 (承認)
・CWE-327:	不完全、またはリスキーなアルゴリズムの使用
・CWE-259:	パスワードのハードコーディング
・CWE-732:	重要なリソースに対する安全性の低いアクセス権の割り当て
・CWE-330:	不十分なランダム値の使用
・CWE-250:	不要な特権による実行
・CWE-602:	サーバサイドのセキュリティをクライアントサイドで適用

JtestのCWE TOP 25サポート

Jtestには、これらの脆弱性を検証するためのルールとコンフィギュレーションがあらかじめ用意されています

• CWE Top 25 2019 / CWE Top 25 + On the Cusp 2019 コンフィギュレーション

Jtestは、コード全体から脆弱性の原因となる場所をピンポイントで指摘します。また、開発者が脆弱性を修正するのに役立つドキュメントも用意されています。Jtestを使って定期的にコードを解析し、検出された違反を修正することで、すべての開発者が安全なコードを習慣的に作成できるようになります。

※ セキュリティルールおよびセキュリティコンプライアンス規約セットによる静的解析には「セキュリティコンプライアンスパック」のライセンス(有償)が必要です。