1. 東陽テクニカ
  2. ソフトウェア開発支援
  3. CWE-Cコンプライアンスモジュール

Perforce Software, Inc.

CWE-Cコンプライアンスモジュール

CWE-Cコンプライアンスモジュールは、自動車関連企業をはじめとする多くのお客様に採用されているHelix QAC for Cにアドオンして使用するオプションソフトウェア(有償)です。

CWE(共通脆弱性タイプ一覧)対応ツールとして認証されているおり、CWEタイプに属するソースコードの脆弱性を検出し、開発者がセキュアなソースコードを書く支援をします。

特長

CWE対応ツールとしての認証取得

PRQA社(現:Perforce Software社)のCWE-CコンプライアンスモジュールはCWE対応ツールとしての認証(The CWE Coverage Claims Representation)を取得しています。

Helix QAC for Cと併用することによって、CWE対応ツールとして認証されているおり、CWEタイプに属するソースコードの脆弱性を検出し、開発者がセキュアなソースコードを書くため支援をするHelix QAC for Cの有償オプションです。

*CWE-Cコンプライアンスモジュールで検出できるCWE識別されている脆弱性はこちらをご参照ください。

  • 現在、Helix QAC for Cをお持ちでないお客様が、CWE-Cコンプライアンスモジュールのご購入を希望される場合は、Helix QAC for Cを別途購入する必要がありますので、ご注意ください。
  • CWE-Cコンプライアンスモジュールのご利用には、Helix QAC for C Version 9.1以上が必要となります。

CWE (Common Weakness Enumeration:共通脆弱性タイプ一覧)
SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性の種類(タイプ)を識別するための共通の一覧。1999年頃から米国政府の支援を受けた非営利団体のMITREが中心となって仕様策定が行われ、2006年3月に最初の原案が公開され、その後、40を超えるベンダーや研究機関が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.0が公開された。コーディングガイドラインとは位置付けが異なる点に注意が必要。

参照URL(情報処理推進機構 Webサイト): https://www.ipa.go.jp/security/vuln/CWE.html

MITRE (The MITRE Corporation)
米国政府の支援を受け、ICT関連の研究開発を行っている非営利団体

参照URL(The MITRE corporation Webサイト): https://www.mitre.org/

CWE-Cコンプライアンスモジュールを使用するメリット

  • CWE(共通脆弱性タイプ一覧)に属する脆弱性を検出します。
  • セーフティ・プログラミングやCWEに属する脆弱性ついての知識を向上させることができます。
  • ソースコードのセキュリティ、信頼性、移植性、保守性を向上させることで、ソースコードの品質改善と将来の保守コストの削減が期待できます。
  • PRQA社(現:Perforce Software社)の他のコンプライアンスモジュールと併用することで、複数のコーディングガイドラインへの適合度を同時に評価することが出来ます。

CWEとCERT®Cの関係

CWEは既知の脆弱性を包括的にまとめた一覧です。一方、CERT® C セキュアコーディング規格は、ソフトウェアの弱点を曝してしまう可能性のある危険なコーディングの構成を識別するものです。コーディングエラーの中には、直接的に脆弱性と関係しない形で現れるものもあるため、CERT® Cコーディングルールの全てがCWEで識別される脆弱性に対応しているわけではありません。同様に、CWEで識別される脆弱性であっても、ハイレベルな設計に関係するもので、コーディング規格には含まれないものも存在します。CWEは「辞書」や「開発」などの視点からまとめられており、例えば、CWE-734はCERT® Cセキュアコーディング規格によって扱われている脆弱性をリストしており、799種あるCWEの内の103種を含んでいます。CERT® Cセキュアコーディング規格を順守することで、開発者はCWE-734に属する脆弱性を完全にまたは部分的に防ぐことが出来ます。

仕様

サポートOSとバージョン

Helix QAC for Cのバージョンによって、対応プラットホームが異なります。
詳しくは、Helix QAC for Cリリース情報 をご参照ください。

テクニカルサポート

技術的なお問い合わせ

CWE-Cコンプライアンスモジュールに関する技術的なご質問に対しては、弊社のサポートデスクがお答えいたします。
お問い合わせ先:ss_support@toyo.co.jp

緊急の場合には、電話によるお問い合わせに対してもお答えいたします。
お取扱い時間は、 9:30~17:30(⼟⽇、祝⽇を除く)です。

ご注意:
サポートデスク宛に技術的なご質問をお出しになる場合、お客様と弊社の間には 保守契約が締結されている必要があります。

お問い合わせに際してのお願い

  1. お問い合わせのE-mailに、次の情報を付加してください。それによって、より早い回答をお届けすることができます。
     ・ ご使用になっているOSの種類とバージョン
     ・ ご使用になっている製品のバージョン
  2. エラーメッセージが出ている場合は、そのエラーメッセージを正確にお送りください。GUI の場合は、画面をキャプチャした画像ファイルをお送りください。
  3. 可能な限り、その問題が発⽣した経緯、再現の⼿順をお知らせください

コード解析センター

コード解析センターでは、お客様のソースコードをお預かりし解析するサービスを行っております。対象の言語は、C、C++ です。
解析結果からコード解析レポートを作成し、東陽テクニカのエンジニアが、コード解析レポートに記された解析結果をレビューします。

詳しくは、こちらをご覧ください。

コード解析センター

保守契約のご案内

https://www.toyo.co.jp/ss/contents/detail/support_agreement_prqa

製品&マニュアルダウンロード

TOYO DEVELOPER PORTAL(要アカウント登録)のHelix QACページからダウンロードいただけます。

※ダウンロードに必要なIDとパスワードについては、保守契約が有効なお客様宛に別途メールにてご連絡させていただいております。
 メールが届いていない、見つからないという場合は、ライセンス担当(ss_lic@toyo.co.jp)までご連絡ください。