CERT/CCとJPCERTがソースコード解析ツールを使ったセキュアコーディングルールの有効性評価報告を公開しています。、、

JPCERT/CCは6月25日に、「ソースコード解析ツールを活用したCERTセキュアコーディングルールの有効性評価（英語版）」を公開した。安全なソフトウェアを開発するためのコーディング規約を、既存のソースコード解析ツールに適用し、エラー検出を行った結果をまとめたものだ。はじめから脆弱性を作り込まないようなルールを定め、それに沿った検証を実施することで、ソフトウェア品質の底上げを狙う試みである。

　JPCERT/CCではこれに先立ち、米CERT/CCと共同で、脆弱性につながるような欠陥やエラーを作り込まないようにするコーディング規約「CERT C/C++ セキュアコーディングスタンダード（英語版）」をまとめている。文字列や整数の取扱い、配列の使い方などについて、バッファオーバーフローなどのセキュリティホールを作り込まないための規約を定めたもので、C言語用に181種類、C++言語用に101種類のルール／レコメンデーション（ガイドライン）をまとめた。

「分断していては攻撃者の思うつぼ」とJPCERT/CC − ＠IT