米Software Engineering Institute(SEI)のCERT部門は、静的解析によってコードの脆弱性を検出するアプリケーション「SCALe」(Source Code Analysis Laborator)をオープンソースで公開しました。 SCALeは、複数の静的解析ツールをまとめて実行するためのフレームワークでできており、今回公開されたアプリケーションにはセキュリティに関するコーディング規約「SEI CERT Coding Standards」およびSQLインジェクション、クロスサイトスクリプティング、バッファオーバーフローなど多くのソフトウェアの脆弱性を体系的に一覧化した「CWE(Common Weakness Enumeration)」(共通脆弱性タイプ一覧)の2つをベースにしたツールが含まれています。 SEI CERT Coding Standardsは現在、C/
![コードを静的解析して脆弱性を検出する「SCALe」、米CERTがオープンソースで公開](https://cdn-ak-scissors.b.st-hatena.com/image/square/f8f31f8ac2f1b51d17c42a4fb2472966c195805c/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2018%2Fcert_scale01.gif)