情報処理推進機構は5月8日、ソフトウェアのソースコードをスキャンして脆弱性をチェックするツール「iCodeChecker」をリリースした。

「iCodeChecker」は、C言語のプログラムを作成する開発工程において、開発者が作成したソースコードに脆弱性を作り込んでいないかどうかを検査するツール。ソースコードの脆弱性が存在する箇所を検出し、修正例や脆弱性が悪用された場合の脅威について解析したレポートを出力する。

iCodeCheckerは、日本語での利用ができ、かつGPLv3の下で公開されているため、無償で利用できる。悪用された場合に危険度の高い脆弱性8種類を機械的に検出することができる。学習効果およびツールの有効性を実証することを目的としているため、検出可能な脆弱性を8種類に絞っているという。

また、同ツールは脆弱性の修正方法の学習も可能な検査結果レポートを出力する。利用者はレポートの内容を確認しながらソースコードを修正することで、脆弱性に対する理解を深め、安全なプログラミング手法を学習できる。

同ツールは、導入が容易なVMイメージ形式、既存の環境へ適用が容易なパッケージ形式、カスタマイズ可能なソースコード形式の3種類の配布形式を用意している。VMイメージ形式を利用した場合、事前の環境準備の必要がなく、復元も容易なため、学生や新人開発者向けの教育に適しているという。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
「iCodeChecker」