CWE/SANS TOP 25


「CWE/SANS最も危険なプログラミングエラーTOP 25」は、CWEおよびSANS が中心となり、世界各国のセキュリティに関する組織や団体に所属する有識者の協力を得て、脆弱性の原因となる危険度の高いプログラミング エラー上位25個を選んだものです。 CWE(Common Weakness Enumeration)は、アメリカ国土安全保障省の国家サイバーセキュリティ部門の資金提供を受け、さまざまなセキュリティ脆弱性を体系的に分類し、識別子を付与して管理しています。 SANSは、世界的なセキュリティ研究・教育機関であり、日本を含む世界各国でセキュリティ トレーニング コースの開催や GIAC(Global Information AssuranceCertification)試験の実施などの活動を行なっています。

CWE/SANS TOP 25の効果/影響

CWE/SANS TOP 25が公表されたことにより、次に示す社会的な効果と影響が期待されます。

ソフトウェアの購入者は、より安全なソフトウェアを購入できるようになる。
プログラマーは、自身が作成するソフトウェアのセキュリティを測るツールを入手できるようになる。
教育機関は、より確実な根拠に基づいて安全なコーディングを教えることができるようになる。
雇用者は、より安全なコードを書けるプログラマーを雇用できるようになる。

CWE/SANS TOP25の概要

CWE/SANS TOP 25は 次の3つのカテゴリに分類されています。

セキュアでないコンポーネント間通信
リソース管理の問題
不完全な防御策

25の各エラーには、対応するCWEの識別子が付されており、CWEのサイトでエラーの内容、影響度や修正の難易度、予防および修正の方法などの詳細な記述を参照することができます。

CWE/SANS TOP 25

セキュアでないコンポーネント間通信
・CWE-20: 不適切な入力の妥当性チェック
・CWE-116: 不適切なエンコード、または出力のエスケープ
・CWE-89: SQLクエリ構造が保護されない(「SQLインジェクション」)
・CWE-78: OSコマンド構造が保護されない(「OSコマンドインジェクション」)
・CWE-79: Webページ構造が保護されない(「クロスサイトスクリプティング」)
・CWE-319: 機密情報の平文転送
・CWE-352: クロスサイトリクエストフォージェリ(CSRF)
・CWE-362: 競合状態
・CWE-209: エラーメッセージ情報の漏洩
リソース管理の問題
・CWE-119 メモリバッファの範囲内での操作が制限されない
・CWE-642: クリティカルな状態データの外部制御
・CWE-73: ファイル名やパス名の外部制御
・CWE-426: 信頼性のない検索パス
・CWE-94: コード生成が制御されない(「コードインジェクション」)
・CWE-494: 完全性検査なしのコードダウンロード
・CWE-404: リソースの不適切なシャットダウンまたはリリース
・CWE-665: 不適切な初期化
・CWE-682: 計算の誤り
不完全な防御策
・CWE-285: 不適切なアクセス制御 (承認)
・CWE-327: 不完全、またはリスキーなアルゴリズムの使用
・CWE-259: パスワードのハードコーディング
・CWE-732: 重要なリソースに対する安全性の低いアクセス権の割り当て
・CWE-330: 不十分なランダム値の使用
・CWE-250: 不要な特権による実行
・CWE-602: サーバサイドのセキュリティをクライアントサイドで適用

JtestのCWE/SANS TOP 25サポート

Jtestには、これらの脆弱性を検証するためのルールとコンフィギュレーションがあらかじめ用意されています

  • CWE-SANS Top 25 2011 / CWE-SANS Top 25 2011 + On the Cusp コンフィギュレーション
Jtestは、コード全体から脆弱性の原因となる場所をピンポイントで指摘します。また、開発者が脆弱性を修正するのに役立つドキュメントも用意されています。Jtestを使って定期的にコードを解析し、検出された違反を修正することで、すべての開発者が安全なコードを習慣的に作成できるようになります。
※ セキュリティルール及びセキュリティコンプライアンス規約セットによる静的解析には「セキュリティコンプライアンスパック」のライセンス(有償)が必要です。

Jtestで行うセキュアコーディングに関する資料

以下の資料をご用意しております。ご希望の方は、資料請求フォームからお問合せください。

【資料】

Java対応静的解析・単体テストツール Jtestに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ソフトウェアエンジニアリング事業部

    03-4405-7853

メールでのお問い合わせ
parasoft-info@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。