Linux Foundationが主催するOpen Source Security Foundation(OpenSSF)は、CおよびC++アプリケーションを安全に構築するための専門知識とリソースを開発者に提供する「CおよびC++のためのコンパイラー・オプション強化ガイド」を、12月12日に発表した。
CおよびC++の言語では、バッファ・オーバーフローやフォーマット文字列の脆弱性、メモリ破壊などメモリ安全性において、セキュリティ上の課題が挙げられてきた。これらのリスクを軽減するため、開発者はソフトウェアを強化するためのコンパイラオプションについて、十分な理解が求められる。
今回発表された「CおよびC++のためのコンパイラー・オプション強化ガイド」は、CおよびC++を扱う開発者を対象に、コンパイラオプションのセキュリティ上の意味を理解するのを助ける包括的なリソース。
「推奨されるコンパイラオプション」のセクションでは、オープンソースコンパイラで広く使われているコンパイラオプションフラグの概要を示す。推奨されるオプションには、開発者に警告するフラグと、バッファオーバーフローなどの一般的な欠陥に対してソフトウェアを強化するフラグの両方が含まれている。
「推奨されないコンパイラオプション」のセクションでは、不適切に使用された場合に、バイナリに重大なセキュリティ上の問題を引き起こす可能性のある、特定のコンパイラオプションフラグを紹介する。
「Sanitizers」のセクションでは、アプリケーションのメモリ安全性の問題やその他の不具合を検出・特定するために設計された、コンパイラベースのツールを紹介する。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
