【第18回】脆弱性とガイドラインの関係

CERT Cについては、CWEに関連情報の記載がありますのでそれに従ってルール番号を埋めました。さらに、2008年版CERT Cが参照している情報もありましたので、その情報を赤色で追加しています（最新のCERT Cでは削除されているルールも含まれます）。

脆弱性とルールは1対1になりません。空欄もあります。そもそもC言語プログラムの世界ではない脆弱性も含まれるので仕方ありません。詳しく見ると分かりますが、ちょっと無理そうな対応付けもあります。

逆にもっと当てはまりそうなものもあり、例えば、CWE-400にはMEM11-C（ヒープ領域が無限にあると想定しない）あたりが該当しそうです。でも、そこはCWEサイトの情報を尊重し外してあります。

CWEサイトにはCERT C以外のC言語ガイドライン情報は無いのですが、IPAのサイトに他のガイドライン等との対応情報があります。それをもとに、MISRAとESCRのルール対応も行いました。

CWE、CERT C、IPA、それぞれが示すガイドラインとの関連付けには違いがありますが、どちらが正しいとか誤りとかという事にはならないと思います。

CWEの情報はセキュリティインシデントやインシデントにつながる弱点を集めており、具体的なソース記述は多くありません。これらの情報から攻撃の可能性等を考えて危険なコーディングを想定した場合に、必ずしも同じコーディングガイドラインにはたどり着きません。

例は良くないですが、私が個人的に作っている各コーディングガイドラインの対応表があるのですが、本コラムで挙げたTop25の脆弱性をあてはめてみたところ、ルールを書き込めたCWE-IDは３つだけでした。想像力が足りないようです。

コーディングガイドラインと繋がりにくい脆弱性ですが、各情報サイトでは具体的なソースプログラムを公開しているルールもあるので、次回からそれらを参考に脆弱性のあるプログラムについて考えてみようと思います。