画像クリックで拡大
LDRA 社は、SEI(the Carnegie Mellon Software Engineering Institute )のCERT C ソースコードの安全性規約に対応した TBsecure プラグインをリリースしました(2008年10月26日) TBsecure により、セキュリティの脆弱性を検出し、CERT C Secure Coding Standard version 1.0 に準拠したコーディングが行えるようになります。CERT C v1.0 標準は、Software Development Best Practices in Bostonで、TBsecure によるCERT Cプログラム・チェッカーの Embedded Systems Conferenceでの発表に合わせてデビューします。
(CERT/CC 【Computer Emergency Response Team/Coordination Center】 1988年にDARPA(《米》国防総省国防高等研究事業局)が中心となってカーネギーメロン大学内に設置)
”ソフトウエアシステムの相互接続・運用が増加する中、ソフトウエアのセキュリティへの攻撃も増加の一方です” ”現在の社会は、ミッション・ビジネス・セーフティにクリティカルなシステムのソフトウエア・アプリケーションへの依存が高くなっています。調査によると、これらシステムの脆弱性の主な原因は、一連のプログラミングエラーに由来すると指摘されています。CERT C スタンダードは、ソフトウエアテストや解析のツールを用いて、これら問題が製品コード化されることを未然に防ぎ、リスクを下げることを目的としています” -Robert Secord氏, Senior Vulnerability Analyst with the SEI CERT program
”LDRAでは、欠陥の無いソフトウエア(zero-defect software)の支援にフォーカスしています。そして、CERT C 準拠のプログラミング・チェッカーを最初に提供できることを大いに喜び、またこのスタンダードは、攻撃に対して堅牢で抵抗力のある高品質のシステム開発に役立てられることを確信しています” -Ian Hennell, LDRA Operations Director
CERT C コードの安全性に関するスタンダードは、Cプログラミング言語に対する安全なコードの為のルール、提言を提供します。これらのルール、提言の目的は、不確かなコーディング慣習や、攻撃されやすい不確定な振舞いを、排除することです。安全なコーディングのためのスタンダードに準拠したアプリケーションは、攻撃に対して堅牢で抵抗力のある高品質なシステムとなるでしょう。CERT C のルールと提言は、プラットフォームやオペレーティングシステムに対して依存しないように設計されています。そして、自動化手法を用いてソースコード検証の尺度として用いられます。 TBsecure により、LDRA 社のツールスイートは、以下に分類されるような、増加傾向にある安全性への課題を抱えるアプリケーションに対して、広範なプログラミング・ルールを適応できるようになりました:
・動的なメモリアロケーション(A) 。動的なメモリ管理は、良くあるプログラム上の欠陥の原因となり、ヒープ・バッファのオーバーフロー、ポインタエラー、ダブル開放などの、安全性に関る問題を引起します。動的なメモリ割り当て、読み書き、開放など。
・脆弱性(V):このルールは、動的なメモリ管理以外で不確かなコーディングの慣習を排除することを目的としています。配列の範囲外アクセスや、ヌルポインターなど。
日本語版『CERT C セキュアコーディングスタンダード』は、JPCERTコーディネーションセンター、セキュアコーディングプロジェクトにより翻訳されて、以下に公開されています。
http://www.jpcert.or.jp/sc-rules/
LDRA 社 CERT-C サポートページ
TBsecure CERT_C 対応ニュースリリース
LDRAの製品情報はこちら
CERT Cセキュアコーディングスタンダード日本語版 発売
HOME
前のページへ