制御システム向けのセキュアなCコーディングルール - JPCERT/CC

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は6月2日、「制御システム用ソフトウエアの脆弱性対策に有効な CERT C コーディングルールの調査」において制御システム向けにセキュアなコードを記述するための指針として「CERT C コーディングスタンダード」から特に重要度が高いと見られる22のルールを抽出して紹介した。

紹介されたルールは次のとおり。

ARR38-C ライブラリ関数が無効なポインタを生成しないことを保証する
MSC34-C 廃止予定の関数や古い関数を使用しない
ARR30-C 境界外を指すポインタや配列添字を生成したり使用したりしない
STR31-C 文字データとnull終端文字を格納するために十分な領域を確保する
EXP33-C 未初期化のメモリを参照しない
EXP39-C 適合しない型のポインタを使って変数にアクセスしない
STR32-C 文字列はnull終端させる
FIO37-C 読み取られたデータが文字データであると思い込まない
MSC30-C 疑似乱数の生成にrand()