IPA、ソースコードセキュリティ検査ツールを無償公開


 IPAは8日、ソースコードセキュリティ検査ツール「iCodeChecker」を無償で公開した。

 iCodeCheckerは、ソースコードを精査し、ソフトの脆弱性の問題箇所や修正方法をレポートする検査ツール。脆弱性やソースコード検査技術を学習したい学生や開発者を対象に、利用者自身が作成したソースコード(C言語)検査が可能。セュアコーディングの学習に役立つとしている。

 特徴は日本語で無償な点。また、開発に作り込みやすく危険度の高い脆弱性8種類について、機械的に検出する点。学習効果やツールの有効性を実証することを目的としているため、検出可能な脆弱性を8種類に絞っているが、任意のコード実行に至るなど、悪用された場合に影響が大きい脆弱性を数多く検出できるという。

 検査後に出力されるレポートでは、脆弱性の検出個所に加え、脆弱性の脅威や対策方法なども出力される。利用者はこのレポートを確認しながらソースコードを修正することで、脆弱性に関する理解を深められるとしている。

 iCodeCheckerの配布形式は、VMイメージ形式、既存環境へ提供が容易なパッケージ形式、カスタマイズ可能なソースコード形式の3種類。

 IPAでは、同ツールをきっかけとして「ソースコードセキュリティ検査」の有効性を周知するとともに、同手法がソフトウェアの開発プロセスに採り入れられ、安全なソフトウェア開発が促進されることを期待するとしている。

関連情報
(川島 弘之)
2012/5/9 06:00