広範囲に使用されていたり、システムの重要な部分に使われてるソフトウエアに脆弱性が見つかると、その後の対策で大変な労力が必要となる。脆弱性をゼロにすることは不可能かもしれないが、脆弱性が残らないようなプログラム・コードを書くように努力し、そのソースコードを検査することで、簡単に見つかる脆弱性を残さないようにすることが可能だ。
本記事ではソースコードの脆弱性発見のために利用するソースコード・セキュリティー検査ツールの概要と、その効果などについて情報処理推進機構(IPA)の亀山 友彦氏に解説してもらう。
今回はソースコード・セキュリティー検査の具体的な活用例として、情報処理推進機構(IPA)が無償で公開しているソースコード・セキュリティー検査ツール「iCodeChecker」を使った利用例を紹介する。
前回は「ソフトウエアの脆弱性対策とシステムのライフサイクル」を説明した。前回紹介したライフサイクルの実装フェーズにおけるソフトウエアの脆弱性対策の中に「ソースコード・セキュリティー検査」という手法があるが、企業においてはまだ浸透しておらず、有効性はあまり知られていない。そこで今回は脆弱性対策の一つで…
システムの開発において、脆弱性への対策も重要な工程である。脆弱性を残したまま出荷されたソフトウエアやシステムに脆弱性が発見されると、製品の改修やシステム設計の見直しが必要になる可能性がある。この対策のために掛かるコストは、出荷前に発見した場合と比較してはるかに大きくなる可能性がある。また、ソフトウ…