Parasoft CERT C Compliance 拡張は、CERT C コーディング スタンダード ガイドラインへの準拠を証明できる、DTP インフラストラクチャのアセットの集合です。この拡張は Security Compliance Pack の一部として提供されています。Security Compliance Pack のダウンロードおよびライセンス情報については、Parasoft 製品テクニカル サポート センターまでお問い合わせください。
このセクションの内容:
背景
CERT C コーディング スタンダードは、ソフトウェア システムの安全性、信頼性、セキュリティの向上を目的に CERT Coordination Center によって開発されました。CERT コーディング スタンダードは「ルール」と「レコメンデーション」から構成され、一連のカテゴリに分類されます。ルールは、標準に従うための要件を提供します。一方、レコメンデーションはソフトウェア システムの安全性、信頼性、セキュリティを改善するガイダンスの提供を目的とします。
ルールとレコメンデーションを総称して「ガイドライン」と呼びます。CERT C Secure Coding Standard のガイドラインは、Common Weakness Enumeration (CWE) のエントリと相互参照されます。CWE のガイドラインを満たさないプログラミング パターンは「弱点」と呼ばれます。
リスク解析の観点から言うと、CERT は弱点を定量化するために 3 種類のメトリクスを使用します。
- ルールへの準拠の逸脱に関連する影響の「重要度」
- ルールを無視することによって入り込むコーディングの欠陥が、攻撃に利用できる脆弱性をもたらす「可能性」
- ルールへの準拠に関連する「修正コスト」
これらのメトリクスは、違反を次の 3 レベルに優先順位付けするために使用されます: L1 (最優先)、L2、および L3。CERT C Compliance 拡張は、CERT C の優先順位、ガイドライン、種類、およびガイドライン カテゴリに従って静的解析違反を表示するよう、DTP 実装を構成します。
CERT C コーディング スタンダードの詳細については https://wiki.sei.cmu.edu/confluence/display/c/Introduction を参照してください。
前提条件
フロー解析ライセンスが有効化された C/C++test (Standard または Professional)詳細については「Security Compliance Pack」を参照してください。
基本的な操作手順
- Security Compliance Pack を DTP Extension Designer にインストールします。
- DTP 環境に CERT C Compliance アーティファクトをデプロイします。この操作は CERT C Compliance 拡張アセット もデプロイします。
- SEI CERT C Standard テスト コンフィギュレーションを使って C/C++test でコードを解析し、違反を DTP にレポートします。ローカル テスト コンフィギュレーションまたは Security Compliance Pack に同梱のテスト コンフィギュレーションを使用するように C/C++test を設定できます。
- DTP インターフェイスに CERT C Compliance ダッシュボードおよびウィジェットを追加し、レポートされた違反を CERT C ガイドラインのコンテキストで確認します。
- ウィジェットとレポートを利用して、修正が必要なコードを特定したり、監査のためにレポートを出力したりします。
100% 準拠の達成
CERT C ガイドライン (ルールと推奨事項の両方) の中には、Parasoft の静的解析では適用されないものが数多くあります。そのため、DTP では、Parasoft 静的解析ルールにマッピングされているガイドラインに対してのみ 100% の準拠を報告します。
CERT C Compliance 拡張アセット
このセクションでは、CERT C Compliance アーティファクトに同梱されるアセットについて説明します。
カテゴリとガイドラインの定義ファイル
以下の構成ファイルは、CERT C に合わせたコンプライアンス カテゴリを DTP インターフェイスで提供します。
- CERT_C-Category.xml
- CERT_C-Guideline-Recommendation.xml
- CERT_C-Guideline-Rule.xml
- CERT_C-Guideline.xml
- CERT_C-Priority.xml
テスト コンフィギュレーション
Parasoft 静的解析/テスト ツールまたは Security Compliance Pack に同梱のテスト コンフィギュレーションを実行するように C/C++test を設定できます。詳細については C/C++test のドキュメントを参照してください。Security Compliance Pack には以下のテスト コンフィギュレーションが含まれています。
- SEI CERT C Guidelines
- SEI CERT C++ Rules
ダッシュボード
Security Compliance Pack をインストールし、CERT compliance アーティファクトをデプロイしたら、次のダッシュボードテンプレートを使用して、CERT 関連のデータを表示するように構成されたウィジェットをすばやく追加できます。
- SEI_CERT_C_Compliance.json
- SEI_CERT_CPP_Compliance.json (「CERT C++ Compliance」を参照)
ダッシュボード テンプレートの詳細については「カスタム ダッシュボード テンプレート」を参照してください。
CERT Compliance.json
これは、インストールして Extension Designer にデプロイする必要がある DTP ワークフローです。DTP のデータ処理機能を拡張して、CERT 固有のダッシュボード ウィジェットとレポートを生成します。コンプライアンス ステータスを追跡し、ガイドラインの徹底、逸脱、およびルールの再分類を文書化するのに役立ちます。
モデルとプロファイル
DTP Enterprise Pack 拡張に、DTP でカスタム計測を実行し、レポート メカニズムを推進するプロファイルを適用できます。
- cert-compliance.json: このモデル ファイルは、CERT C および CERT C++ のプロファイルがどのようにデータを表示するかを指定します。
- cert-c.json: これは、cert-compliance.json モデルに従ってデータを表示するデフォルト プロファイルです。コンプライアンス監査レポートを生成するには、このプロファイルを有効化する必要があります。
DTP Enterprise Pack のプロファイルの詳細については「モデル プロファイルの使用」を参照してください。
クロス リファレンス用 PDF
Parasoft ルールと CERT ガイドラインとの関連を示す PDF が次の場所にあります: <PACK>/rules/cpptest
ディレクトリ
package.json
このファイルは拡張のコンテンツを指定します。
ルール マップとテスト コンフィギュレーション
通常、Parasoft の静的解析およびフロー解析ルールは、カテゴリ (たとえばバグの可能性、相互運用性など) と 1 から 5 の重要度に従って違反をレポートします。CERT C ガイドライン違反としてコード解析違反を表示するために、DTP はルール マップ ファイルを必要とします。ルール マップ ファイルは、CERT C ガイドラインに従って違反をレポートするために Parasoft ルールを再編成します。さらに、コード解析ツール (C/C++test) は再マッピングされた CERT C ルールに関連するルールだけを実行するテスト コンフィギュレーション ファイルを必要とします。これらのファイルは C/C++test に同梱されています。
CERT Compliance アセットのデプロイ
CERT C Compliance アーティファクトは、Security Compliance Pack の一部としてインストールされます (操作手順については「インストール」を参照してください)。アーティファクトをインストールした後、DTP 環境にアセットをデプロイする必要があります。
CERT C、CERT C++、および CERT for Java
すでに CERT C++ Compliance または CERT for Java Compliance アーティファクトを使用している場合、このステップを実行する必要はありません。これらのすべてのアーティファクトが同じ DTP ワークフローを使用します。
- DTP の設定メニュー (歯車のアイコン) から [Extension Designer] を選択します。
- [サービス] タブをクリックし、DTP ワークフロー サービス カテゴリを選択します。アセットはどのサービス カテゴリにもデプロイできますが、Parasoft のアセットのカテゴライズに合うように DTP ワークフロー カテゴリを使用することを推奨します。[カテゴリの追加] をクリックして独自のサービス カテゴリを作成することもできます (詳細については「サービスの使用」を参照)。
- 既存のサービスにアーティファクトをデプロイするか、新しいサービスを追加できます。サービスにデプロイしたアーティファクトの数は、全般的なパフォーマンスに影響します。詳細については「Extension Designer のベスト プラクティス」を参照してください。既存のサービスを選択し、ステップ 5 まで継続するか、または [サービスの追加] をクリックします。
- サービスの名前を指定して [確認] をクリックします。
- タブ化されたインターフェイスは、サービス内でアーティファクトを配置するのに役立ちます。複数のタブにまたがってアーティファクトを配置してもシステムのパフォーマンスには影響しません。タブをクリックし (または [+] アイコンをクリックして新しいタブを追加し)、三点メニューから [読み込み] を選択します。
- [Local] > [Flows] > [Workflows] > [Security] > [CERT Compliance] を選択し、[読み込み] をクリックします。
- 空いている任意の箇所をクリックしてサービスにアーティファクトを追加します。
- [デプロイ] をクリックし、DTP ダッシュボードに戻ります。
- ブラウザーを更新します。
これで、CERT C Compliance ダッシュボードとウィジェットを追加することができます。
CERT C Compliance ダッシュボードの追加
CERT C ダッシュボード テンプレートは、Security Compliance Pack をインストールした後に利用可能になります。ダッシュボード テンプレートが表示されない場合、DTP を再起動してください (「DTP サービスの停止」および「DTP アプリケーションの開始」を参照)。
- DTP ツールバーの [ダッシュボードの追加] をクリックして名前を指定します。
- (オプション) 以下の情報を指定して、ダッシュボードのデフォルト ビューを設定できます。
- [フィルター] ドロップダウン メニューで、プロジェクトに関連するフィルターを選択します。フィルターは、DTP に格納されたデータをカスタマイズして表示できるラン コンフィギュレーション セットを表します。詳細については「DTP の概念」を参照してください。
- [期間] メニューで時間の範囲を指定します。
- [ベースライン ビルド] および [ターゲット ビルド] メニューで、ビルド範囲を指定します。
- [テンプレートからダッシュボードを作成] を有効にし、関連するメニューから SEI CERT C Compliance ダッシュボードを選択します。
- [作成] をクリックしてダッシュボードの追加を完了します。
SEI CERT C テスト コンフィギュレーションを使ってプロジェクトに対して C/C++test を実行したことがある場合、ダッシュボードを追加するとすぐに、ほとんどのウィジェットがデータを表示します。すぐにデータを使って作業できるため、コンプライアンス ゴールを追跡するのに役立ちます (「CERT C Compliance ウィジェットの表示」を参照)。
手動による CERT C ウィジェットの追加
既存のダッシュボードに CERT C ウィジェットを手動で追加できます。ダッシュボードにウィジェットを追加する方法については「ウィジェットの追加」を参照してください。アーティファクトをデプロイした後、ウィジェットが SEI CERT カテゴリに表示されます。
以下の設定を使用できます。
タイトル | [タイトル] フィールドでウィジェット名を変更できます。この設定はすべてのウィジェットで可能です。 |
---|---|
フィルター | メニューから特定のフィルターまたはダッシュボード設定を選択します。詳細については「フィルターの設定」を参照してください。この設定はすべてのウィジェットで可能です。 |
ターゲット ビルド | メニューから特定のビルドを選択します。ダッシュボード全体について選択されたビルドがデフォルトで選択されます。ビルドの詳細については「ビルド管理の使用」を参照してください。この設定はすべてのウィジェットで可能です。 |
種類 | このルールはウィジェットで表示するガイドラインの種類を指定します。メニューから [ルール]、[レコメンデーション]、または [すべて] を選択します。ガイドラインの種類の詳細については「背景」を参照してください。この設定は以下のウィジェットで利用可能です:
|
レベル | このルールはウィジェットで表示する優先度レベルを指定します。メニューから L1、L2、または L3 を選択します。ガイドラインの優先度の詳細については「背景」を参照してください。この設定は以下のウィジェットで利用可能です:
|
コンプライアンス プロファイル | データの表示に使用するコンプライアンス プロファイルを指定します。ほとんどの場合、これは拡張に同梱されたデフォルト プロファイルにするべきです (「CERT Compliance プロファイルについて」を参照)。この設定はすべてのウィジェットで可能です。 |
CERT C Compliance ウィジェットの表示
以下のウィジェットは CERT C Compliance DTP ワークフローに同梱されており、CERT C への準拠を達成するために有用です。
CERT Compliance - Status
このウィジェットは、プロジェクトの CERT コンプライアンス ステータスを表示します。
デフォルトでは、ウィジェットにはルールと推奨事項、およびすべての優先度レベルが表示されます。ウィジェットの複数のインスタンスを追加し、さまざまな組み合わせを構成して、コンプライアンス ステータスの強力なビューを作成できます。ウィジェットをクリックすると、CERT C Compliance Report が開きます。
CERT Levels - Target
このウィジェットは、ターゲット ビルドのツールチップで、各優先度レベルについてコンプライアンス ステータスの概要を提供します。適用可能な逸脱もツールチップに表示されます。ウィジェットをクリックすると、CERT C Compliance Report が開きます。
CERT Compliance - Status by Level
このウィジェットは、全般的なコンプライアンス ステータスだけでなく、各 CERT C レベルのコンプライアンス ステータスも表示します。現在のコンプライアンス ステータスを表示するために、このウィジェットの複数のインスタンスを追加し、異なるプロファイルを使用するように設定できます。たとえば、無効化したガイドラインのプロファイルなどです。ウィジェットをクリックすると、CERT C Compliance Report が開きます。
許容範囲と見なされる逸脱と違反に対してコードは準拠できます。逸脱の詳細については「Deviation Report」を参照してください。
指定のビルドに、プロファイル に記述された Parasoft コード解析ルールが含まれていなかった場合、または許容できない違反がレポートされた場合、ステータスは Not Compliant に設定されます。すべてのルールが C/C++test で有効化されていることを確認し、解析を再実行してください。
CERT Compliance - Percentage
このウィジェットは、CERT への準拠の達成度をパーセントで表示します。達成度はプロファイルで推進されるガイドラインの数に基づきます。ウィジェットをクリックすると、CERT C Compliance Report が開きます。
CERT Compliance - Guidelines by Status
このウィジェットは、優先度レベルごとに、特定のルールまたはレコメンデーションのコンプライアンス ステータスを表示します。このウィジェットのインスタンスを複数追加して、異なる種類/優先度の組み合わせを設定できます。異なる視点からコンプライアンス ステータスを理解するのに役立ちます。
円グラフには、最大で 4 個まで、選択したカテゴリについて異なるガイドライン ステータスを表示できます:
緑 | 選択した種類とレベルについて、コードが準拠しているガイドライン。 |
黄 | コードが逸脱しているが、まだ準拠していると見なされるガイドライン。 逸脱とは、Parasoft 静的解析ルールに準じてガイドラインに従っていないが、ソフトウェアの安全性に影響しないため許容範囲と見なされる状態のことです。逸脱は、抑制された Parasoft 静的解析ルールを表します。 |
オレンジ | ガイドラインを推進する静的解析ルールに違反があるが、コードが準拠していると見なされるガイドライン。このステータスになるのはレコメンデーションだけです。 |
赤 | コードが準拠していないガイドライン。 |
以下の操作を行うことができます。
- 円グラフ上にマウス ポインタを置くと、詳細が表示されます。
- グラフ セクションをクリックすると、種類、優先度、およびコンプライアンス ステータスでフィルタリングされた CERT C Compliance Report が開きます。
- 違反の数をクリックすると、種類、優先度、およびコンプライアンス ステータスでフィルタリングされた CERT C Compliance Report が開きます。
- 逸脱の数をクリックすると、種類と優先度でフィルタリングされた Deviation Report が開きます。
CERT Violations by Category - TreeMap Widget
このウィジェットは、種類と優先度レベルごとに、静的解析違反が集中している箇所を表示します。タイルは優先度レベルで色分けされます:
- 赤いタイルは L1 の違反を表します。
- 黄色のタイルは L2 の違反を表します。
- 緑のタイルは L3 の違反を表します。
ガイドラインへの準拠を推進する Parasoft ルールも表示されます。タイルの大きさは、ルールごとにレポートされた静的解析違反の数に比例します。
このウィジェットは、モデル プロファイル で確立された階層を利用して、CERT のルール、レコメンデーション、および優先度に Parasoft ルールを相関させます。タイル上にマウス ポインタを置くと、各ルール/ガイドライン/カテゴリに関連する違反の数が表示されます。
違反エクスプローラー で違反を見るには、ルールをクリックします。
CERT Compliance by Priority
このウィジェットは、DTP に付属する標準の カテゴリ別コンプライアンス ウィジェットの実装です。コンプライアンスに準拠するルールの数と割合を、ルールのカテゴリ別に表示します。
表中の項目をクリックすると、コンプライアンス カテゴリ別の違反 レポートが表示されます。
Top 5 CERT Categories
このウィジェットは、DTP に付属する標準の カテゴリ - 上位 5 表 Compliance ウィジェットの実装です。最も違反の多い CERT ガイドライン カテゴリを上位 5 つ表示します。
[Name] 列のリンクまたは [more...] リンクをクリックすると、コンプライアンス カテゴリ別の違反 レポートが表示されます。
Top 5 CERT Guidelines
このウィジェットは、DTP に付属する標準の カテゴリ - 上位 5 表 ウィジェットの実装です。最も違反の多い CERT ガイドラインを上位 5 つ表示します。
[Name] 列のリンクまたは [more...] リンクをクリックすると、コンプライアンス カテゴリ別の違反 レポートが表示されます。
CERT Analysis Compliance
このウィジェットは、DTP に付属する標準の Rules in Compliance - Summary ウィジェットの実装です。このウィジェットは以下の情報を表示します。
- 選択したコンプライアンス基準について、コード解析中に何個の静的解析ルールが有効だったか。
- 何個の違反がレポートされたか。
- 違反をレポートしなかったルールの全体的な割合。
- ベースライン ビルドからターゲット ビルドにおける、違反の数の変化 (割合)。(当てはまる場合)
ウィジェットをクリックすると、コンプライアンス カテゴリ別の違反 レポートが表示されます。
CERT C Compliance レポートの表示
CERT Compliance Report は、CERT コンプライアンス ステータスの概要を提供し、準拠を証明するための主要文書の役割を果たします。
以下の操作を行うことができます。
- メニューを使って以下の条件でソートします:
- ガイドラインの種類: ルール、レコメンデーション、またはすべて
- 優先度レベル: L1、L2、L3、またはすべて
- コンプライアンス ステータス: All (すべて)、No Rules Enabled (全ルール無効化)、Compliant (準拠)、Compliant With Deviations (逸脱があるが準拠)、Compliant With Violations (違反があるが準拠)、Not Compliant (準拠していない)、Missing Rule(s) in Analysis (見つからないルールが解析に存在)
- [Guideline] 列でガイドラインのリンクをクリックして Conformance Testing Plan を開きます。ガイドラインを推進する Parasoft コード解析ルールをレビューできるように、リンクから特定のガイドラインに直接移動します。
- 違反エクスプローラー で違反を確認するには、[違反の数] 列のリンクをクリックします。
- 抑制された違反を 違反エクスプローラー で確認するには、[# of Deviations] 列のリンクをクリックします。
- CERT Compliance サブ レポートの 1 つを開きます。
- プリンター印刷に適した PDF 形式のレポートをダウンロードするには、[PDF のダウンロード] をクリックします。「ナビゲーション バーへの画像の追加」で説明するように DTP にカスタム グラフィックを追加した場合、PDF にもカスタム グラフィックが表示されます。
CERT Compliance Report には、以下の補助的なレポートが含まれます:
Conformance Testing Plan
Conformance Testing Plan は、コンプライアンス プロファイルで指定された CERT ガイドラインを Parasoft 静的解析ルールと相互参照します。プロファイルを構成 することによって、プロジェクトの目標を達成するために重要度、可能性、修正コスト、および他の値を変更できます。
Deviation Report
標準からの逸脱が文書化され、ソフトウェアの安全性に影響しない限り、コードは違反があっても CERT 準拠であることができます。逸脱とは、コード中で直接抑制されたコード解析ルール、または DTP の違反エクスプローラーで抑制されたコード解析ルールです。コード中で違反を抑制する方法については、C/C++test のドキュメントを参照してください。DTP で違反を抑制する方法については、違反エクスプローラーのドキュメントの「違反の抑制」を参照してください。
CERT Compliance Report で Deviation Report リンクをクリックすると、Deviation Report が開きます。
Deviations Report は、すべてのガイドラインの ID とヘッダーを表示しますが、抑制されたガイドラインには追加情報を表示します。以下の操作を行うことができます。
- 種類 (ルール、推奨事項、すべて) でレポートをフィルタリングします。
- レベル (L1、L2、L3) でレポートをフィルタリングします。
- [Only Deviations] を有効化して、逸脱だけを表示します。
- [変更履歴の非表示] を有効化して、逸脱の変更履歴を非表示にします。
ビルド監査レポート
ビルド監査レポート は DTP のネイティブ機能です。このレポートは、コード解析違反の概要を表示するほか、ビルドに関連したテスト結果とカバレッジ情報も表示します。また、データのアーカイブをダウンロードすることもできます。これは、定期的な監査で CERT への準拠を証明するために使用できるアーティファクトです。
アーカイブをダウンロードするには、ビルドがロックされていなければなりません。このレポートの詳細については「ビルド監査レポート」を参照してください。
プロファイル
Security Compliance Pack には、コア CERT C ワークフローに関連付けられたプロファイルが含まれています。
CERT Compliance プロファイルについて
CERT C Compliance DTP ワークフローにはデフォルトの プロファイル が同梱されており、このプロファイルには CERT コンプライアンス レポート を生成するために必要な情報が含まれています。デフォルト プロファイルは、CERT ガイドラインと Parasoft コード解析ルールの相関関係を示し、通常のほとんどの使用に適しています。
CERT プロファイルを変更してはいけません
デフォルトの CERT C プロファイルを変更しないことを強く推奨します。なぜなら、デフォルト プロファイルの変更は監査目的で生成するレポートに影響するからです。
必要に応じて、デフォルト プロファイルの複製を作成し、ソフトウェアの品質とコンプライアンスの目標を達成するために、Parasoft コード解析ルールと CERT C ガイドラインの相関関係を変更できます。
- Extension Designer を開き、[プロファイル] タブをクリックします。
- CERT Compliance モデルを展開し、SEI CERT C 2018 プロファイルを選択します。
- [プロファイルのエクスポート] をクリックして複製をダウンロードします。
- [プロファイルの追加] をクリックし、名前を入力します。
- [確認] をクリックして空のプロファイルを作成します。
- エクスポートしたデフォルト プロファイルの複製の名前を変更し、[プロファイルのインポート] を選択します。
- 複製を選択してアップロードします。
- [編集] をクリックして必要な変更を加えます。
- [保存] をクリックします。