IPA(独立行政法人情報処理推進機構)は8日、ソフトウェアのソースコードを検査し、問題個所や修正方法のレポートを出力するソースコードセキュリティ検査ツール「iCodeChecker(アイコードチェッカー)」を公開した。 「iCodeChecker」は、プログラムを作成する開発工程において、開発者が作成したソースコード(C言語)に脆弱性を作り込んでいないか検査できるツール。修正例や脆弱性が悪用された場合の脅威について解析し、脅威や対策方法等のレポートを出力可能となっている。脆弱性やソースコード検査技術を学習したい学生や開発者が対象とのことで、利用者は本ツールを通して、脆弱性を学習するとともに、ソースコードセキュリティ検査技術の有効的な活用方法を習得できる。ツールは日本語で、かつ無料利用が可能。 検出可能な脆弱性は、CWE-120(バッファオーバーフローの問題)、CWE-129)配列インデックスの検証の不備)など、危険度の高い8種類。学習効果およびツールの有効性を実証することを目的としているため、検出可能な脆弱性を8種類に絞っているとのこと。 配布形式としては、導入が容易なVMイメージ形式、既存の環境へ適用が容易なパッケージ形式、カスタマイズ可能なソースコード形式の3種類の配布形式を用意。VMware Playerが動作するWindows環境、またはUbuntu 11.10 Desktop(32bit版)で動作可能。
世界規模で被害!IPAがWindowsの脆弱性対策について注意喚起
