ソースコードに脆弱性がないか検査できる「iCodeChecker」を公開、脅威や対策方法等のレポートも出力可能(IPA)

　IPA（独立行政法人情報処理推進機構）は8日、ソフトウェアのソースコードを検査し、問題個所や修正方法のレポートを出力するソースコードセキュリティ検査ツール「iCodeChecker（アイコードチェッカー）」を公開した。

製品・サービス・業界動向新製品・新サービス

2012.5.8 Tue 17:55

　IPA（独立行政法人情報処理推進機構）は8日、ソフトウェアのソースコードを検査し、問題個所や修正方法のレポートを出力するソースコードセキュリティ検査ツール「iCodeChecker（アイコードチェッカー）」を公開した。

　「iCodeChecker」は、プログラムを作成する開発工程において、開発者が作成したソースコード（C言語）に脆弱性を作り込んでいないか検査できるツール。修正例や脆弱性が悪用された場合の脅威について解析し、脅威や対策方法等のレポートを出力可能となっている。脆弱性やソースコード検査技術を学習したい学生や開発者が対象とのことで、利用者は本ツールを通して、脆弱性を学習するとともに、ソースコードセキュリティ検査技術の有効的な活用方法を習得できる。ツールは日本語で、かつ無料利用が可能。

　検出可能な脆弱性は、CWE-120（バッファオーバーフローの問題）、CWE-129）配列インデックスの検証の不備）など、危険度の高い8種類。学習効果およびツールの有効性を実証することを目的としているため、検出可能な脆弱性を8種類に絞っているとのこと。

　配布形式としては、導入が容易なVMイメージ形式、既存の環境へ適用が容易なパッケージ形式、カスタマイズ可能なソースコード形式の3種類の配布形式を用意。VMware Playerが動作するWindows環境、またはUbuntu 11.10 Desktop（32bit版）で動作可能。

IPA、ソースコードセキュリティ検査ツール「iCodeChecker」を公開

《冨岡晶@RBB TODAY》