次の表は、[INSTALL]/configs/builtin ディレクトリにインストールされるビルトイン テスト コンフィギュレーションです。

静的解析

このグループには、汎用的な静的解析テスト コンフィギュレーションが含まれます。セキュリティ コーディング標準を推進するテスト コンフィギュレーションについては「セキュリティ コンプライアンス パック」を参照してください。

ビルトイン テスト コンフィギュレーション説明
Recommended Rules推奨ルールのデフォルト コンフィギュレーションです。重要度 1 および 2 の大部分のルールをカバーします。Flow Analysis Fast コンフィギュレーションのルールを含みます。 
Recommended .NET Core Rules.NET Core プロジェクトの重要度の高い問題を識別するルールを含みます。
Find Duplicated Code重複コードをレポートする静的コード解析ルールを適用します。重複コードは、アプリケーションの設計が適切でないことを表す可能性があり、保守性の問題につながる場合があります。
Metricsコード メトリクスを計測します。 
Flow Analysisテスト ケースやアプリケーションを実行せずに複雑な実行時エラーを検出します。検出されるエラーには、未初期化または無効なメモリの使用、null ポインター間接参照、配列およびバッファーのオーバーフロー、ゼロ除算、メモリおよびリソース リーク、デッド コードなどが含まれます。特別なFlow Analysis ライセンス オプションが必要です。
Flow Analysis Aggressive深いフロー解析を行うルールを含みます。このコンフィギュレーションの実行には、非常に長い時間がかかる可能性があります。
Flow Analysis Fast浅いフロー解析を行うルールを含みます。許容できる可能性があるエラーがレポートされるのを抑制します。
Critical Rules重要度 1 のルールの大部分および Flow Analysis Fast コンフィギュレーションのルールを含みます。  
Demoさまざまなコード解析技術をデモンストレーションするルールを含みます。大規模なコードの解析には適していない可能性があります。
Find Memory Issuesメモリ管理の問題を検出するルールを含みます。 
Find Unimplemented Scenarios未実装のシナリオを検出するためのルールが含まれます。 
Find Unused Code 未使用コード/デッド コードを検出するためのルールが含まれます。

Check Code Compatibility against .NET [2.0, 3.0, 3.5, 4.0 Client Profile, 4.0 Full, 4.5, 4.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2, 4.8]

指定されたバージョンの .NET framework への互換性を検証するテスト コンフィギュレーションのセットが含まれます。 
IEC 62304 (Template) IEC 62304 医療規格を適用するためのテンプレート コンフィギュレーションです。 
Roslyn .NET Analyzers Default Rulesroslyn-analyzer プロジェクトの .NET コンパイラ プラットフォーム (Roslyn) アナライザー ルールのうち重要度が高くデフォルトで有効化されているルールを適用します。Roslyn アナライザーの詳細については「ソース コード解析の概要」を参照してください。

セキュリティ コンプライアンス パック

このコンプライアンス パックには、セキュリティ コーディング標準およびプラクティスの推進に役立つテスト コンフィギュレーションが含まれています。標準がどのように dotTEST のルールにマッピングされているかについては、「コンプライアンス パックのルールのマッピング」を参照してください。

(info) コンプライアンス パックを使用するには、専用のライセンス機能を有効化する必要があります。ライセンスの詳細については、Parasoft 製品サポートにご連絡ください。

コンプライアンスの結果を DTP で表示する

このカテゴリの一部のテスト コンフィギュレーションには、対応する DTP の拡張機能があります。拡張機能を利用すると、セキュリティ コンプライアンスのステータスを参照したり、コンプライアンス レポートを生成したり、セキュリティ コンプライアンスのゴールに向けた進捗をモニターしたりできます。  利用可能な拡張機能の一覧、要件、使用方法については、DTP のマニュアルの「DTP の拡張」セクションを参照してください。

ビルトイン テスト コンフィギュレーション説明
CWE 4.9

CWE standard v4.9 で識別された問題を検出するルールを含みます。

(info) このテスト コンフィギュレーションは、Parasoft Compliance Pack ソリューションの一部です。DTP の Compliance 拡張機能を使用して業界標準へのコンプライアンスをモニターできます。

CWE Top 25 2022

CWE の Top 25 Most Dangerous Programming Errors v.2022 として分類された問題を検出するルールを含みます。 

(info) このテスト コンフィギュレーションは、Parasoft Compliance Pack ソリューションの一部です。DTP の Compliance 拡張機能を使用して業界標準へのコンプライアンスをモニターできます。

CWE Top 25 2021

CWE の Top 25 Most Dangerous Programming Errors v.2021 として分類された問題を検出するルールを含みます。 

(info) このテスト コンフィギュレーションは、Parasoft Compliance Pack ソリューションの一部です。DTP の Compliance 拡張機能を使用して業界標準へのコンプライアンスをモニターできます。

CWE Top 25 + On the Cusp 2022

CWE の Top 25 Most Dangerous Programming Errors として分類された問題または CWE Weaknesses On the Cusp リスト v.2022 に含まれる問題を検出するルールを含みます。

(info) このテスト コンフィギュレーションは、Parasoft Compliance Pack ソリューションの一部です。DTP の Compliance 拡張機能を使用して業界標準へのコンプライアンスをモニターできます。

CWE Top 25 + On the Cusp 2021

CWE の Top 25 Most Dangerous Programming Errors として分類された問題または CWE Weaknesses On the Cusp リスト v.2021 に含まれる問題を検出するルールを含みます。

(info) このテスト コンフィギュレーションは、Parasoft Compliance Pack ソリューションの一部です。DTP の Compliance 拡張機能を使用して業界標準へのコンプライアンスをモニターできます。

DISA-ASD-STIGDefense Information Systems Agency が提供する Application Security and Development STIG (Security Technical Implementation Guide) で指定された問題を検出するルールを含みます。
HIPAAHIPAA (Health Insurance Portability and Accountability Act) 規則で指定された問題を検出するルールを含みます。
OWASP API Security Top 10-2019

OWASP の API セキュリティ トップ 10 で識別された問題を検出するルールを含みます。

(info) このテスト コンフィギュレーションは、Parasoft Compliance Pack ソリューションの一部です。DTP の Compliance 拡張機能を使用して業界標準へのコンプライアンスをモニターできます。

OWASP Top 10-2021

OWASP Top 10 - 2021 で識別された Web アプリケーションのセキュリティの問題を検出するルールを含みます。

(info) このテスト コンフィギュレーションは、Parasoft Compliance Pack ソリューションの一部です。DTP の Compliance 拡張機能を使用して業界標準へのコンプライアンスをモニターできます。

OWASP Top 10-2017

OWASP Top 10 - 2017 で識別された Web アプリケーションのセキュリティの問題を検出するルールを含みます。

(info) このテスト コンフィギュレーションは、Parasoft Compliance Pack ソリューションの一部です。DTP の Compliance 拡張機能を使用して業界標準へのコンプライアンスをモニターできます。

PCI DSS 4.0PCI Data Security Standard バージョン 4.0 で識別された問題を検出するルールを含みます。
PCI DSS 3.2PCI Data Security Standard バージョン 3.2 で識別された問題を検出するルールを含みます。
Security Assessmentセキュリティの問題を検出する一般的なテスト コンフィギュレーションです。
UL 2900UL-2900 標準で識別された問題を検出するルールを含みます。
Microsoft Secure Coding GuidelinesMicrosoft Secure Coding Guidelines を推進するルールを含みます。
VVSG 2.0Voluntary Voting System Guidelines 2.0 で定義された仕様および要求を適用するルールを含みます。

単体テストおよびカバレッジの収集

このグループには、単体テストを実行し、カバレッジを収集するテスト コンフィギュレーションが含まれています。

ビルトイン テスト コンフィギュレーション説明
Run VSTest Tests解析スコープ内で検出された NUnit、MSTest、xUnit テストを実行します。
Run VSTest Tests with Coverage 解析スコープ内で検出された NUnit、MSTest、xUnit テストを実行し、カバレッジを計測します。
Calculate Application Coverageアプリケーション カバレッジ データを処理して coverage.xml ファイルを生成します。Web アプリケーションのアプリケーション カバレッジを参照してください。
Collect Static Coverageアプリケーション カバレッジに必要な静的カバレッジ データを生成します。Web アプリケーションのアプリケーション カバレッジを参照してください。

コンプライアンス パックのルールのマッピング

このセクションは、CWE 標準用のルール マッピングを示します。他の標準のマッピング情報は、コンプライアンス パックとともに提供される PDF ルール マッピング ファイルに記載されています。

CWE Top 25 2022 のマッピング

CWE ID

CWE 名/説明

Parasoft ルール ID

CWE-787

Out-of-bounds Write

  • CWE.787.ARRAY

CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

  • CWE.79.VPPD
  • CWE.79.TDRESP
  • CWE.79.TDXSS
  • CWE.79.AXSSE
  • CWE.79.CSP

CWE-89

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

  • CWE.89.TDSQL
  • CWE.89.TDSQLC

CWE-20

Improper Input Validation

  • CWE.20.ARRAY
  • CWE.20.VPPD
  • CWE.20.TDNET
  • CWE.20.TDFNAMES
  • CWE.20.TDCMD
  • CWE.20.TDRESP
  • CWE.20.TDXSS
  • CWE.20.TDSQL
  • CWE.20.TDSQLC

CWE-125

Out-of-bounds Read

  • CWE.125.ARRAY

CWE-78

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

  • CWE.78.TDCMD

CWE-416

Use After Free

  • CWE.416.DISP
  • CWE.416.FIN

CWE-22

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

  • CWE.22.TDFNAMES

CWE-352

Cross-Site Request Forgery (CSRF)

  • CWE.352.VPPD
  • CWE.352.TDRESP
  • CWE.352.VAFT
  • CWE.352.CA3147
  • CWE.352.CA5391

CWE-434

Unrestricted Upload of File with Dangerous Type

  • CWE.434.TDFNAMES

CWE-476

NULL Pointer Dereference

  • CWE.476.NR
  • CWE.476.DEREF
  • CWE.476.CNFA

CWE-502

Deserialization of Untrusted Data

  • CWE.502.IIDC
  • CWE.502.UIS
  • CWE.502.IDC
  • CWE.502.MGODWSPA
  • CWE.502.CA2350
  • CWE.502.CA2351
  • CWE.502.CA2352
  • CWE.502.CA2353
  • CWE.502.CA2354
  • CWE.502.CA2355
  • CWE.502.CA2356
  • CWE.502.CA2361
  • CWE.502.CA2362

CWE-190

Integer Overflow or Wraparound

  • CWE.190.AIWIL
  • CWE.190.AIOAC
  • CWE.190.INTOVERF

CWE-287

Improper Authentication

  • CWE.287.TDPASSWD
  • CWE.287.AAM
  • CWE.287.UAAMC
  • CWE.287.LUAFLA
  • CWE.287.IIPHEU
  • CWE.287.CA5359
  • CWE.287.CA5403
  • CWE.287.CA5376
  • CWE.287.CA5390

CWE-798

Use of Hard-coded Credentials

  • CWE.798.HARDCONN
  • CWE.798.HPW
  • CWE.798.CA5403

CWE-862

Missing Authorization

  • CWE.862.UAA

CWE-77

Improper Neutralization of Special Elements used in a Command ('Command Injection')

  • CWE.77.TDCMD

CWE-306

Missing Authentication for Critical Function

  • CWE.306.ADSVSP

CWE-119

Improper Restriction of Operations within the Bounds of a Memory Buffer

  • CWE.119.ARRAY

CWE-276

Incorrect Default Permissions

  • N/A

CWE-918

Server-Side Request Forgery (SSRF)

  • CWE.918.TDNET
  • CWE.918.CA3147
  • CWE.918.CA5368
  • CWE.918.CA5391
  • CWE.918.CA5395

CWE-362

Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')

  • CWE.362.LOCKSETGET
  • CWE.362.DIFCS

CWE-400

Uncontrolled Resource Consumption

  • CWE.400.LEAKS
  • CWE.400.TDLOG
  • CWE.400.CA5362

CWE-611

Improper Restriction of XML External Entity Reference

  • CWE.611.PDTDP
  • CWE.611.USXRS
  • CWE.611.CA3061
  • CWE.611.CA3075
  • CWE.611.CA3077
  • CWE.611.CA5366
  • CWE.611.CA5369
  • CWE.611.CA5370
  • CWE.611.CA5371
  • CWE.611.CA5372

CWE-94

Improper Control of Generation of Code ('Code Injection')

  • CWE.94.TDCODE

CWE Weaknesses On the Cusp 2022 のマッピング

CWE ID

CWE 名/説明

Parasoft ルール ID

CWE-295

Improper Certificate Validation

  • CWE.295.TDCODE

CWE-427

Uncontrolled Search Path Element

  • CWE.427.DNICV
  • CWE.427.CA5359
  • CWE.427.CA5403

CWE-863

Incorrect Authorization

  • CWE.863.CA5393

CWE-269

Improper Privilege Management

  • CWE.269.AAM
  • CWE.269.UAAMC
  • CWE.269.AUTH

CWE-732

Incorrect Permission Assignment for Critical Resource

  • CWE.732.IDENTITY
  • CWE.732.CA5375
  • CWE.732.CA5377

CWE-843

Access of Resource Using Incompatible Type ('Type Confusion')

  • CWE.843.ADSVSP
  • CWE.843.CA5396

CWE-668

Exposure of Resource to Wrong Sphere

  • N/A

CWE-200

Exposure of Sensitive Information to an Unauthorized Actor

  • N/A

CWE-1321

Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution')

  • CWE.1321.SDE
  • CWE.1321.SENS
  • CWE.1321.PEO
  • CWE.1321.ACPST
  • CWE.1321.CSG
  • CWE.1321.SENSLOG
  • CWE.1321.CA3004

CWE-601

URL Redirection to Untrusted Site ('Open Redirect')

  • N/A

CWE-401

Missing Release of Memory after Effective Lifetime

  • CWE.401.TDNET
  • CWE.401.TDRESP

CWE-59

Improper Link Resolution Before File Access ('Link Following')

  • N/A

CWE-522

Insufficiently Protected Credentials

  • CWE.522.VLT

CWE-319

Cleartext Transmission of Sensitive Information

  • CWE.319.TDPASSWD

CWE-312

Cleartext Storage of Sensitive Information

  • N/A

CWE Top 25 2021 のマッピング

CWE ID

CWE 名/説明

Parasoft ルール ID

CWE-787

Out-of-bounds Write

  • CWE.787.ARRAY

CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

  • CWE.79.VPPD
  • CWE.79.TDRESP
  • CWE.79.TDXSS
  • CWE.79.AXSSE
  • CWE.79.CSP

CWE-125

Out-of-bounds Read

  • CWE.125.ARRAY

CWE-20

Improper Input Validation

  • CWE.20.ARRAY
  • CWE.20.VPPD
  • CWE.20.TDNET
  • CWE.20.TDFNAMES
  • CWE.20.TDCMD
  • CWE.20.TDRESP
  • CWE.20.TDXSS
  • CWE.20.TDSQL
  • CWE.20.TDSQLC

CWE-78

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

  • CWE.78.TDCMD

CWE-89

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

  • CWE.89.TDSQL
  • CWE.89.TDSQLC

CWE-416

Use After Free

  • CWE.416.DISP
  • CWE.416.FIN

CWE-22

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

  • CWE.22.TDFNAMES

CWE-352

Cross-Site Request Forgery (CSRF)

  • CWE.352.VPPD
  • CWE.352.TDRESP
  • CWE.352.VAFT
  • CWE.352.CA3147
  • CWE.352.CA5391

CWE-434

Unrestricted Upload of File with Dangerous Type

  • CWE.434.TDFNAMES

CWE-306

Missing Authentication for Critical Function

  • CWE.306.ADSVSP

CWE-190

Integer Overflow or Wraparound

  • CWE.190.AIWIL
  • CWE.190.AIOAC
  • CWE.190.INTOVERF

CWE-502

Deserialization of Untrusted Data

  • CWE.502.IIDC
  • CWE.502.UIS
  • CWE.502.IDC
  • CWE.502.MGODWSPA
  • CWE.502.CA2350
  • CWE.502.CA2351
  • CWE.502.CA2352
  • CWE.502.CA2353
  • CWE.502.CA2354
  • CWE.502.CA2355
  • CWE.502.CA2356
  • CWE.502.CA2361
  • CWE.502.CA2362

CWE-287

Improper Authentication

  • CWE.287.TDPASSWD
  • CWE.287.AAM
  • CWE.287.UAAMC
  • CWE.287.LUAFLA
  • CWE.287.IIPHEU
  • CWE.287.CA5359
  • CWE.287.CA5403
  • CWE.287.CA5376
  • CWE.287.CA5390

CWE-476

NULL Pointer Dereference

  • CWE.476.NR
  • CWE.476.DEREF
  • CWE.476.CNFA

CWE-798

Use of Hard-coded Credentials

  • CWE.798.HARDCONN
  • CWE.798.HPW
  • CWE.798.CA5403

CWE-119

Improper Restriction of Operations within the Bounds of a Memory Buffer

  • CWE.119.ARRAY

CWE-862

Missing Authorization

  • CWE.862.UAA

CWE-276

Incorrect Default Permissions

  • N/A

CWE-200

Exposure of Sensitive Information to an Unauthorized Actor

  • CWE.200.SDE
  • CWE.200.SENS
  • CWE.200.PEO
  • CWE.200.ACPST
  • CWE.200.CSG
  • CWE.200.SENSLOG
  • CWE.200.CA3004

CWE-522

Insufficiently Protected Credentials

  • CWE.522.TDPASSWD

CWE-732

Incorrect Permission Assignment for Critical Resource

  • CWE.732.ADSVSP
  • CWE.732.CA5396

CWE-611

Improper Restriction of XML External Entity Reference

  • CWE.611.PDTDP
  • CWE.611.USXRS
  • CWE.611.CA3061
  • CWE.611.CA3075
  • CWE.611.CA3077
  • CWE.611.CA5366
  • CWE.611.CA5369
  • CWE.611.CA5370
  • CWE.611.CA5371
  • CWE.611.CA5372

CWE-918

Server-Side Request Forgery (SSRF)

  • CWE.918.TDNET
  • CWE.918.CA3147
  • CWE.918.CA5368
  • CWE.918.CA5391
  • CWE.918.CA5395

CWE-77

Improper Neutralization of Special Elements used in a Command ('Command Injection')

  • CWE.77.TDCMD

CWE Weaknesses On the Cusp 2021 のマッピング

CWE ID

CWE 名/説明

Parasoft ルール ID

CWE-295

Improper Certificate Validation

  • CWE.295.DNICV
  • CWE.295.CA5359
  • CWE.295.CA5403

CWE-400

Uncontrolled Resource Consumption

  • CWE.400.LEAKS
  • CWE.400.TDLOG
  • CWE.400.CA5362

CWE-94

Improper Control of Generation of Code ('Code Injection')

  • CWE.94.TDCODE

CWE-269

Improper Privilege Management

  • CWE.269.IDENTITY
  • CWE.269.CA5375
  • CWE.269.CA5377

CWE-917

Improper Neutralization of Special Elements used in an Expression Language Statement ('Expression Language Injection')

  • N/A

CWE-59

Improper Link Resolution Before File Access ('Link Following')

  • CWE.59.VLT

CWE-401

Missing Release of Memory after Effective Lifetime

  • N/A

CWE-362

Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')

  • CWE.362.LOCKSETGET
  • CWE.362.DIFCS

CWE-427

Uncontrolled Search Path Element

  • CWE.427.CA5393

CWE-319

Cleartext Transmission of Sensitive Information

  • N/A

CWE-843

Access of Resource Using Incompatible Type ('Type Confusion')

  • N/A

CWE-601

URL Redirection to Untrusted Site ('Open Redirect')

  • CWE.601.TDNET
  • CWE.601.TDRESP

CWE-863

Incorrect Authorization

  • CWE.863.AAM
  • CWE.863.UAAMC
  • CWE.863.AUTH

CWE-532

Insertion of Sensitive Information into Log File

  • CWE.532.ALSI
  • CWE.532.SENSLOG

CWE-770

Allocation of Resources Without Limits or Throttling

  • CWE.770.TDALLOC
  • CWE.770.UHCF
  • CWE.770.CA2014

CWE 4.9 のマッピング

CWE ID

CWE 名/説明

Parasoft ルール ID

CWE-20

Improper Input Validation

  • CWE.20.VPPD
  • CWE.20.TDNET
  • CWE.20.TDFNAMES
  • CWE.20.TDCMD
  • CWE.20.TDRESP
  • CWE.20.TDXSS
  • CWE.20.TDSQL
  • CWE.20.TDSQLC
  • CWE-120.AUK
  • CWE-129.ARRAY
  • CWE-134.TDINPUT
  • CWE-470.TDRFL
  • CWE-190.AIWIL
  • CWE-190.AIOAC
  • CWE-190.INTOVERF

CWE-22

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

  • CWE.22.TDFNAMES

CWE-59

Improper Link Resolution Before File Access ('Link Following')

  • CWE-64.VLT
  • CWE-1386.VLT

CWE-64

Windows Shortcut Following (.LNK)

  • CWE.64.VLT

CWE-74

Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection')

  • CWE-88.TDCMD
  • CWE-88.VPPD
  • CWE-89.TDSQL
  • CWE-89.TDSQLC
  • CWE-99.TDFNAMES
  • CWE-99.TDNET
  • CWE-79.TDXSS
  • CWE-79.AXSSE
  • CWE-79.CSP
  • CWE-78.TDCMD

CWE-77

Improper Neutralization of Special Elements used in a Command ('Command Injection')

  • CWE-624.CA3012
  • CWE-88.TDCMD
  • CWE-88.VPPD
  • CWE-78.TDCMD

CWE-78

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

  • CWE.78.TDCMD

CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

  • CWE.79.TDXSS
  • CWE.79.AXSSE
  • CWE.79.CSP
  • CWE-80.VPPD
  • CWE-80.TDRESP

CWE-80

Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS)

  • CWE.80.VPPD
  • CWE.80.TDRESP

CWE-88

Improper Neutralization of Argument Delimiters in a Command ('Argument Injection')

  • CWE.88.TDCMD
  • CWE.88.VPPD

CWE-89

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

  • CWE.89.TDSQL
  • CWE.89.TDSQLC

CWE-90

Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection')

  • CWE.90.TDLDAP

CWE-94

Improper Control of Generation of Code ('Code Injection')

  • CWE-95.TDCODE

CWE-95

Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection')

  • CWE.95.TDCODE

CWE-99

Improper Control of Resource Identifiers ('Resource Injection')

  • CWE.99.TDFNAMES
  • CWE.99.TDNET

CWE-116

Improper Encoding or Escaping of Output

  • CWE-838.AIHUE
  • CWE-838.CA1054
  • CWE-838.CA1055
  • CWE-838.CA1056
  • CWE-838.CA5365

CWE-119

Improper Restriction of Operations within the Bounds of a Memory Buffer

  • CWE-125.ARRAY
  • CWE-120.AUK
  • CWE-787.ARRAY

CWE-120

Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')

  • CWE.120.AUK

CWE-125

Out-of-bounds Read

  • CWE.125.ARRAY

CWE-129

Improper Validation of Array Index

  • CWE.129.ARRAY

CWE-131

Incorrect Calculation of Buffer Size

  • CWE.131.AUK

CWE-134

Use of Externally-Controlled Format String

  • CWE.134.TDINPUT

CWE-190

Integer Overflow or Wraparound

  • CWE.190.AIWIL
  • CWE.190.AIOAC
  • CWE.190.INTOVERF

CWE-191

Integer Underflow (Wrap or Wraparound)

  • CWE.191.AIWIL
  • CWE.191.AIOAC
  • CWE.191.INTOVERF

CWE-197

Numeric Truncation Error

  • CWE.197.ECLSII

CWE-200

Exposure of Sensitive Information to an Unauthorized Actor

  • CWE.200.CSG
  • CWE.200.CA3004
  • CWE-532.ALSI
  • CWE-532.SENSLOG
  • CWE-201.SELSPLAT
  • CWE-209.SDE
  • CWE-209.SENS
  • CWE-209.PEO
  • CWE-209.ACPST

CWE-201

Insertion of Sensitive Information Into Sent Data

  • CWE.201.SELSPLAT

CWE-209

Generation of Error Message Containing Sensitive Information

  • CWE.209.SDE
  • CWE.209.SENS
  • CWE.209.PEO
  • CWE.209.ACPST

CWE-212

Improper Removal of Sensitive Information Before Storage or Transfer

  • CWE.212.CSG

CWE-221

Information Loss or Omission

  • CWE-397.NTSAE
  • CWE-396.NCSAE

CWE-250

Execution with Unnecessary Privileges

  • CWE.250.AUEP
  • CWE.250.CA5375
  • CWE.250.CA5377

CWE-252

Unchecked Return Value

  • CWE.252.RETVAL
  • CWE.252.CHECKRET

CWE-256

Plaintext Storage of a Password

  • CWE.256.TDPASSWD

CWE-259

Use of Hard-coded Password

  • CWE.259.HPW

CWE-269

Improper Privilege Management

  • CWE.269.IDENTITY
  • CWE-250.AUEP
  • CWE-250.CA5375
  • CWE-250.CA5377

CWE-284

Improper Access Control

  • CWE-269.IDENTITY
  • CWE-863.AAM
  • CWE-863.UAAMC
  • CWE-863.AUTH
  • CWE-862.UAA
  • CWE-285.TDSQL
  • CWE-287.AAM
  • CWE-287.UAAMC

CWE-285

Improper Authorization

  • CWE.285.TDSQL
  • CWE-732.ADSVSP
  • CWE-863.AAM
  • CWE-863.UAAMC
  • CWE-863.AUTH
  • CWE-862.UAA

CWE-287

Improper Authentication

  • CWE.287.AAM
  • CWE.287.UAAMC
  • CWE-294.CA5376
  • CWE-295.DNICV
  • CWE-295.CA5359
  • CWE-295.CA5403
  • CWE-798.HARDCONN
  • CWE-798.CA5403
  • CWE-306.ADSVSP
  • CWE-307.LUAFLA

CWE-290

Authentication Bypass by Spoofing

  • CWE-350.IIPHEU

CWE-294

Authentication Bypass by Capture-replay

  • CWE.294.CA5376

CWE-295

Improper Certificate Validation

  • CWE.295.DNICV
  • CWE.295.CA5359
  • CWE.295.CA5403
  • CWE-299.CA5399
  • CWE-299.CA5400

CWE-299

Improper Check for Certificate Revocation

  • CWE.299.CA5399
  • CWE.299.CA5400

CWE-306

Missing Authentication for Critical Function

  • CWE.306.ADSVSP

CWE-307

Improper Restriction of Excessive Authentication Attempts

  • CWE.307.LUAFLA

CWE-312

Cleartext Storage of Sensitive Information

  • CWE-316.RSFSS
  • CWE-316.SSFP

CWE-316

Cleartext Storage of Sensitive Information in Memory

  • CWE.316.RSFSS
  • CWE.316.SSFP

CWE-321

Use of Hard-coded Cryptographic Key

  • CWE.321.CA5390

CWE-326

Inadequate Encryption Strength

  • CWE.326.RSAKS
  • CWE-328.ICA

CWE-327

Use of a Broken or Risky Cryptographic Algorithm

  • CWE.327.DNCCKS
  • CWE.327.ACCA
  • CWE-780.UOWR
  • CWE-328.ICA

CWE-328

Use of Weak Hash

  • CWE.328.ICA

CWE-329

Generation of Predictable IV with CBC Mode

  • CWE.329.ACCA

CWE-330

Use of Insufficiently Random Values

  • CWE.330.USSCR

CWE-344

Use of Invariant Value in Dynamically Changing Context

  • CWE-798.HARDCONN
  • CWE-798.CA5403

CWE-345

Insufficient Verification of Data Authenticity

  • CWE-352.VPPD
  • CWE-352.TDRESP
  • CWE-352.VAFT
  • CWE-352.CA3147
  • CWE-352.CA5391
  • CWE-494.IREC

CWE-350

Reliance on Reverse DNS Resolution for a Security-Critical Action

  • CWE.350.IIPHEU

CWE-352

Cross-Site Request Forgery (CSRF)

  • CWE.352.VPPD
  • CWE.352.TDRESP
  • CWE.352.VAFT
  • CWE.352.CA3147
  • CWE.352.CA5391

CWE-362

Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')

  • CWE.362.LOCKSETGET
  • CWE.362.DIFCS

CWE-369

Divide By Zero

  • CWE.369.ZERO

CWE-391

Unchecked Error Condition

  • CWE.391.LGE

CWE-395

Use of NullPointerException Catch to Detect NULL Pointer Dereference

  • CWE.395.NCNRE

CWE-396

Declaration of Catch for Generic Exception

  • CWE.396.NCSAE

CWE-397

Declaration of Throws for Generic Exception

  • CWE.397.NTSAE

CWE-400

Uncontrolled Resource Consumption

  • CWE.400.CA5362
  • CWE-771.LEAKS
  • CWE-770.UHCF
  • CWE-770.CA2014
  • CWE-779.TDLOG

CWE-402

Transmission of Private Resources into a New Sphere ('Resource Leak')

  • CWE.402.CSG

CWE-404

Improper Resource Shutdown or Release

  • CWE-299.CA5399
  • CWE-299.CA5400
  • CWE-772.LEAKS

CWE-412

Unrestricted Externally Accessible Lock

  • CWE.412.NLT

CWE-416

Use After Free

  • CWE.416.DISP
  • CWE.416.FIN

CWE-426

Untrusted Search Path

  • CWE.426.PBRTE

CWE-427

Uncontrolled Search Path Element

  • CWE.427.CA5393

CWE-434

Unrestricted Upload of File with Dangerous Type

  • CWE.434.TDFNAMES

CWE-441

Unintended Proxy or Intermediary ('Confused Deputy')

  • CWE-918.TDNET
  • CWE-918.CA3147
  • CWE-918.CA5368
  • CWE-918.CA5391
  • CWE-918.CA5395

CWE-456

Missing Initialization of a Variable

  • CWE.456.NOTEXPLINIT

CWE-457

Use of Uninitialized Variable

  • CWE.457.NOTEXPLINIT

CWE-470

Use of Externally-Controlled Input to Select Classes or Code ('Unsafe Reflection')

  • CWE.470.TDRFL

CWE-476

NULL Pointer Dereference

  • CWE.476.NR
  • CWE.476.DEREF
  • CWE.476.CNFA

CWE-480

Use of Incorrect Operator

  • CWE.480.PUO
  • CWE-481.AWC

CWE-481

Assigning instead of Comparing

  • CWE.481.AWC

CWE-494

Download of Code Without Integrity Check

  • CWE.494.IREC

CWE-499

Serializable Class Containing Sensitive Data

  • CWE.499.CSG

CWE-502

Deserialization of Untrusted Data

  • CWE.502.IIDC
  • CWE.502.UIS
  • CWE.502.IDC
  • CWE.502.MGODWSPA
  • CWE.502.CA2350
  • CWE.502.CA2351
  • CWE.502.CA2352
  • CWE.502.CA2353
  • CWE.502.CA2354
  • CWE.502.CA2355
  • CWE.502.CA2356
  • CWE.502.CA2361
  • CWE.502.CA2362

CWE-522

Insufficiently Protected Credentials

  • CWE-256.TDPASSWD

CWE-532

Insertion of Sensitive Information into Log File

  • CWE.532.ALSI
  • CWE.532.SENSLOG

CWE-538

Insertion of Sensitive Information into Externally-Accessible File or Directory

  • CWE-532.ALSI
  • CWE-532.SENSLOG

CWE-546

Suspicious Comment

  • CWE.546.TODO

CWE-561

Dead Code

  • CWE.561.UC

CWE-563

Assignment to Variable without Use

  • CWE.563.POVR
  • CWE.563.VOVR

CWE-570

Expression is Always False

  • CWE.570.CC

CWE-571

Expression is Always True

  • CWE.571.CC

CWE-573

Improper Following of Specification by Caller

  • CWE-329.ACCA

CWE-595

Comparison of Object References Instead of Object Contents

  • CWE.595.REVT

CWE-601

URL Redirection to Untrusted Site ('Open Redirect')

  • CWE.601.TDNET
  • CWE.601.TDRESP

CWE-610

Externally Controlled Reference to a Resource in Another Sphere

  • CWE-601.TDNET
  • CWE-601.TDRESP
  • CWE-470.TDRFL
  • CWE-918.TDNET
  • CWE-918.CA3147
  • CWE-918.CA5368
  • CWE-918.CA5391
  • CWE-918.CA5395
  • CWE-611.PDTDP
  • CWE-611.USXRS
  • CWE-611.CA3061
  • CWE-611.CA3075
  • CWE-611.CA3077
  • CWE-611.CA5366
  • CWE-611.CA5369
  • CWE-611.CA5370
  • CWE-611.CA5371
  • CWE-611.CA5372

CWE-611

Improper Restriction of XML External Entity Reference

  • CWE.611.PDTDP
  • CWE.611.USXRS
  • CWE.611.CA3061
  • CWE.611.CA3075
  • CWE.611.CA3077
  • CWE.611.CA5366
  • CWE.611.CA5369
  • CWE.611.CA5370
  • CWE.611.CA5371
  • CWE.611.CA5372

CWE-613

Insufficient Session Expiration

  • CWE.613.ISE

CWE-617

Reachable Assertion

  • CWE.617.ATA

CWE-624

Executable Regular Expression Error

  • CWE.624.CA3012

CWE-642

External Control of Critical State Data

  • CWE-426.PBRTE

CWE-657

Violation of Secure Design Principles

  • CWE-250.AUEP
  • CWE-250.CA5375
  • CWE-250.CA5377

CWE-662

Improper Synchronization

  • CWE.662.DIFCS
  • CWE-833.ORDER

CWE-664

Improper Control of a Resource Through its Lifetime

  • CWE-662.DIFCS
  • CWE-400.CA5362

CWE-665

Improper Initialization

  • CWE-456.NOTEXPLINIT
  • CWE-770.UHCF
  • CWE-770.CA2014
  • CWE-457.NOTEXPLINIT

CWE-667

Improper Locking

  • CWE-412.NLT
  • CWE-833.ORDER

CWE-668

Exposure of Resource to Wrong Sphere

  • CWE-22.TDFNAMES
  • CWE-499.CSG
  • CWE-134.TDINPUT
  • CWE-402.CSG
  • CWE-732.ADSVSP
  • CWE-427.CA5393
  • CWE-426.PBRTE
  • CWE-200.CSG
  • CWE-200.CA3004

CWE-669

Incorrect Resource Transfer Between Spheres

  • CWE-829.DMSC
  • CWE-829.ADLL
  • CWE-494.IREC
  • CWE-434.TDFNAMES
  • CWE-212.CSG

CWE-670

Always-Incorrect Control Flow Implementation

  • CWE-480.PUO
  • CWE-617.ATA

CWE-671

Lack of Administrator Control over Security

  • CWE-798.HARDCONN
  • CWE-798.CA5403

CWE-672

Operation on a Resource after Expiration or Release

  • CWE-416.DISP
  • CWE-416.FIN
  • CWE-613.ISE

CWE-673

External Influence of Sphere Definition

  • CWE-426.PBRTE

CWE-676

Use of Potentially Dangerous Function

  • CWE.676.APDM

CWE-681

Incorrect Conversion between Numeric Types

  • CWE.681.ECLTS
  • CWE-197.ECLSII

CWE-682

Incorrect Calculation

  • CWE-369.ZERO
  • CWE-131.AUK
  • CWE-191.AIWIL
  • CWE-191.AIOAC
  • CWE-191.INTOVERF
  • CWE-190.AIWIL
  • CWE-190.AIOAC
  • CWE-190.INTOVERF

CWE-691

Insufficient Control Flow Management

  • CWE-362.LOCKSETGET
  • CWE-362.DIFCS
  • CWE-662.DIFCS

CWE-693

Protection Mechanism Failure

  • CWE-807.AUTH
  • CWE-330.USSCR
  • CWE-326.RSAKS
  • CWE-327.DNCCKS
  • CWE-327.ACCA

CWE-703

Improper Check or Handling of Exceptional Conditions

  • CWE-391.LGE
  • CWE-397.NTSAE

CWE-704

Incorrect Type Conversion or Cast

  • CWE-681.ECLTS

CWE-705

Incorrect Control Flow Scoping

  • CWE-397.NTSAE
  • CWE-396.NCSAE
  • CWE-395.NCNRE

CWE-706

Use of Incorrectly-Resolved Name or Reference

  • CWE-827.PDTDP
  • CWE-22.TDFNAMES

CWE-707

Improper Neutralization

  • CWE-20.VPPD
  • CWE-20.TDNET
  • CWE-20.TDFNAMES
  • CWE-20.TDCMD
  • CWE-20.TDRESP
  • CWE-20.TDXSS
  • CWE-20.TDSQL
  • CWE-20.TDSQLC

CWE-710

Improper Adherence to Coding Standards

  • CWE-476.NR
  • CWE-476.DEREF
  • CWE-476.CNFA
  • CWE-571.CC
  • CWE-570.CC

CWE-732

Incorrect Permission Assignment for Critical Resource

  • CWE.732.ADSVSP
  • CWE-1004.CA5396

CWE-754

Improper Check for Unusual or Exceptional Conditions

  • CWE-476.NR
  • CWE-476.DEREF
  • CWE-476.CNFA
  • CWE-391.LGE
  • CWE-252.RETVAL
  • CWE-252.CHECKRET

CWE-755

Improper Handling of Exceptional Conditions

  • CWE-396.NCSAE
  • CWE-395.NCNRE
  • CWE-209.SDE
  • CWE-209.SENS
  • CWE-209.PEO
  • CWE-209.ACPST

CWE-759

Use of a One-Way Hash without a Salt

  • CWE.759.SALT

CWE-760

Use of a One-Way Hash with a Predictable Salt

  • CWE.760.SALT

CWE-770

Allocation of Resources Without Limits or Throttling

  • CWE.770.UHCF
  • CWE.770.CA2014
  • CWE-789.TDALLOC

CWE-771

Missing Reference to Active Allocated Resource

  • CWE.771.LEAKS

CWE-772

Missing Release of Resource after Effective Lifetime

  • CWE.772.LEAKS

CWE-779

Logging of Excessive Data

  • CWE.779.TDLOG

CWE-780

Use of RSA Algorithm without OAEP

  • CWE.780.UOWR

CWE-787

Out-of-bounds Write

  • CWE.787.ARRAY

CWE-789

Memory Allocation with Excessive Size Value

  • CWE.789.TDALLOC

CWE-798

Use of Hard-coded Credentials

  • CWE.798.HARDCONN
  • CWE.798.CA5403
  • CWE-259.HPW
  • CWE-321.CA5390

CWE-799

Improper Control of Interaction Frequency

  • CWE-307.LUAFLA

CWE-807

Reliance on Untrusted Inputs in a Security Decision

  • CWE.807.AUTH
  • CWE-350.IIPHEU

CWE-825

Expired Pointer Dereference

  • CWE-416.DISP
  • CWE-416.FIN

CWE-827

Improper Control of Document Type Definition

  • CWE.827.PDTDP

CWE-829

Inclusion of Functionality from Untrusted Control Sphere

  • CWE.829.DMSC
  • CWE.829.ADLL
  • CWE-827.PDTDP

CWE-833

Deadlock

  • CWE.833.ORDER

CWE-834

Excessive Iteration

  • CWE-835.IVFLC
  • CWE-835.IVFLI
  • CWE-835.NSIVFLN

CWE-835

Loop with Unreachable Exit Condition ('Infinite Loop')

  • CWE.835.IVFLC
  • CWE.835.IVFLI
  • CWE.835.NSIVFLN

CWE-838

Inappropriate Encoding for Output Context

  • CWE.838.AIHUE
  • CWE.838.CA1054
  • CWE.838.CA1055
  • CWE.838.CA1056
  • CWE.838.CA5365

CWE-862

Missing Authorization

  • CWE.862.UAA

CWE-863

Incorrect Authorization

  • CWE.863.AAM
  • CWE.863.UAAMC
  • CWE.863.AUTH

CWE-908

Use of Uninitialized Resource

  • CWE-457.NOTEXPLINIT

CWE-909

Missing Initialization of Resource

  • CWE-456.NOTEXPLINIT

CWE-913

Improper Control of Dynamically-Managed Code Resources

  • CWE-470.TDRFL
  • CWE-502.IIDC
  • CWE-502.UIS
  • CWE-502.IDC
  • CWE-502.MGODWSPA
  • CWE-502.CA2350
  • CWE-502.CA2351
  • CWE-502.CA2352
  • CWE-502.CA2353
  • CWE-502.CA2354
  • CWE-502.CA2355
  • CWE-502.CA2356
  • CWE-502.CA2361
  • CWE-502.CA2362

CWE-916

Use of Password Hash With Insufficient Computational Effort

  • CWE-760.SALT
  • CWE-759.SALT

CWE-918

Server-Side Request Forgery (SSRF)

  • CWE.918.TDNET
  • CWE.918.CA3147
  • CWE.918.CA5368
  • CWE.918.CA5391
  • CWE.918.CA5395

CWE-923

Improper Restriction of Communication Channel to Intended Endpoints

  • CWE-350.IIPHEU

CWE-943

Improper Neutralization of Special Elements in Data Query Logic

  • CWE-90.TDLDAP
  • CWE-89.TDSQL
  • CWE-89.TDSQLC

CWE-1004

Sensitive Cookie Without 'HttpOnly' Flag

  • CWE.1004.CA5396

CWE-1025

Comparison Using Wrong Factors

  • CWE-595.REVT

CWE-1078

Inappropriate Source Code Style or Formatting

  • CWE-546.TODO

CWE-1164

Irrelevant Code

  • CWE-561.UC
  • CWE-563.POVR
  • CWE-563.VOVR

CWE-1177

Use of Prohibited Code

  • CWE-676.APDM

CWE-1204

Generation of Weak Initialization Vector (IV)

  • CWE-329.ACCA

CWE-1284

Improper Validation of Specified Quantity in Input

  • CWE-789.TDALLOC

CWE-1285

Improper Validation of Specified Index, Position, or Offset in Input

  • CWE-129.ARRAY

CWE-1386

Insecure Operation on Windows Junction / Mount Point

  • CWE.1386.VLT

  • No labels