BLOGTIMES
2012/05/08

C言語向けの脆弱性検査ツール

  ipa  softwareengineering  c  report 
このエントリーをはてなブックマークに追加

IPAがソースコードセキュリティ検査ツール iCodeCheckerを公開していたのでメモ。
報告書概要*1によると、ソースコードの解析はROSEを使っていて、比較対象はSplintとなっています。検出できる脆弱性は下記の8種類。

CWE-120 入力サイズ未チェックでのバッファコピー(バッファオーバーフローの問題)
CWE-129 配列インデックスの検証の不備
CWE-134 書式文字列の問題
CWE-190 整数オーバーフローの問題
CWE-191 整数アンダーフローの問題
CWE-195 符号付き変数の変換の問題
CWE-457 ポインタに対するsizeof演算子の利用
CWE-467 未初期化変数の利用

この通り基本的なことしかチェックできないのと、そのほかにも下記のような結構きつい制限があるので、本格的な利用というのは厳しい感じですね。構造体が出てこないプログラムはそれこそプログラミングの例題くらいのものですし。そう言う意味では大学などの教育機関で使ったりすることを想定してるんでしょうか。

IPA、C言語向けの脆弱性検査ツールをオープンソースで公開 - SourceForge.JP Magazine : オープンソースの話題満載

なお、対応アーキテクチャはx86のみで、ANSI Cで記述されており構造体やgoto文を使用していないコードのみチェックできるという制約がある。また、100を越えるファイルで構成されるプログラムにも対応できないとのこと。

トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/4938
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン