Stack Overflow、ソースコードから発見した脆弱性トップ8を発表

Stack Overflowは12月2日(米国時間)、「Preventing the Top Security Weaknesses Found in Stack Overflow Code Snippets - Stack Overflow Blog」において、Stack Overflowに掲載されているコードの断片（スニペット）に含まれている脆弱性について、上位8つに分類して実態を伝えた。

Stack Overflowは以前、同社のQ＆Aサイトに掲載されているソースコードはセキュリティ上、好ましくないものが少なくないという研究結果を伝えている。今回、前回の発表をベースとしつつ、上位8つの脆弱性がまとめられている。

掲載されているセキュリティ脆弱性は次のとおり。

CWE-754 異常条件または例外条件の不適切なチェック

CWE-20 不適切な入力値検証

CWE-252 返り値チェックの未実施

CWE-477 非推奨または廃止された機能の使用

CWE-789 制御されていないメモリ割り当て

CWE-158 ヌルバイトまたはヌル文字の不適切な処理

CWE-134 外部制御文字の使用

CWE-476 ヌルポインタ参照

Stack Overflowに掲載されているスニペットは開発者が実際に使っているコードである可能性が高く、プログラミング時に陥りがちな誤ったソースコードの例として説得力がある。掲載されているエラータイプをチェックして自らのコーディングに反映していくことで、脆弱性が少ないソースコードの作成につながっていくと見られる。