IPA、C言語向けの脆弱性検査ツールをオープンソースで公開

 独立行政法人情報処理推進機構(IPA)は5月8日、ソフトウェアのソースコードをスキャンして脆弱性をチェックするツール「iCodeChecker」を公開した。GPLv3を採用するオープンソースソフトウェアで、動作環境はUbuntu 11.10。

 iCodeCheckerはC言語のソースコードをスキャンし、そこからセキュリティ問題を検出するツール。コマンドラインからの操作のほか、Webインターフェイスを使用したGUIでの操作にも対応する。日本語のユーザーインターフェイスや検査結果レポートが利用できる点も特徴という。

 検出できる脆弱性は「入力サイズ未チェックでのバッファコピー(バッファオーバーフローの問題)」や「配列インデックスの検証の不備」など8種類で、検査結果レポートでは対策方法などの詳細も表示されるという。

 なお、対応アーキテクチャはx86のみで、ANSI Cで記述されており構造体やgoto文を使用していないコードのみチェックできるという制約がある。また、100を越えるファイルで構成されるプログラムにも対応できないとのこと。

 iCodeCheckerはソースコードのほか、バイナリ形式(インストール用シェルスクリプトを含む)と、iCodeCheckerがインストールされたUbuntu環境を含む仮想マシンイメージ形式で配布されている。なお、ソースコードからのコンパイルにはgcc 4.4およびg++ 4.4、ruby 1.9.1、ROSEコンパイラフレームワークなどが必要。

独立行政法人情報処理推進機構
http://www.ipa.go.jp/

iCodeChecker
http://www.ipa.go.jp/security/vuln/iCodeChecker/index.html