市場に出荷された多くのソフトウエア製品に発見される脆弱性は、プログラミングエラーによって引き起こされている。製品出荷後に発見される脆弱性を修正するには、場合によっては、ソフトウエアのデザイン (設計) の見直し、大規模な再コーディング、再テストが必要になる上、修正プログラムの開発・周知および配付のためのコストがかかることとなる。さらに、利用者側においても、修正プログラムの適用のためのリスクと、コストがかかることになる。
このような問題を回避するためには、製品開発工程において、脆弱性の発生につながるような欠陥を作りこまないこと、仮に作りこまれたとしても出荷前の検証等の段階で発見して対応が行われること等が有効な対策となり得ると考えられる。そのための対策のひとつとして、「C/C++ セキュアコーディングスタンダード」というルールセットが開発されている。
CERT/CC と JPCERTコーデイネーションセンターは、共同で、ソフトウエアの品質確認において、このルールセットの一部を実装した「ソースコード解析ツール」を実験的に利用することにより、「C/C++ セキュアコーディングスタンダード」の有効性と、このルールセットへの適合状況を機械的に効率よく検出することが可能であるか (実用性) を評価するプロジェクトを実施した。
本技術報告書は、その結果をまとめたものであり、ソフトウエア製品の開発や出荷前の検証 (品質確認) を行われる方々が、それぞれの作業工程において、より安全なソフトウエア製品を提供するための対策を検討される場合の参考として下さることを期待して公開するものである。
