ルールの更新
ASoC の最近のルール更新
2025-07-14
- 新規ルール。
| 言語 | CWE | 説明 |
|---|---|---|
| Python | CWE-78 | os.system の安全でない使用を探します。1 |
| CWE-79 | Python Django のルールの明確さが向上しました。 | |
| シークレット | CWE-1051 | ハードコードされた IP アドレス・チェックのノイズ・パターンを削除しました。 |
| CWE-798 | ハードコードされた資格情報のノイズ・パターンを削除しました。
|
2025-06-13
Java 用マークアップの追加:
- 68 件の新規ソース
- 10 件の新規シンク
| 言語 | CWE | 説明 |
|---|---|---|
| シークレット | ノイズの多いパターンの一部は検出結果として削除されました。 | |
| Java ソース・コード | CWE-111 | DllImportの危険な使用のチェックが追加されました。 |
| CWE-918 | ユーザーが制御する可能性のあるデータを含む URL openStream のチェックが追加されました。 |
2025-05-07
このリリースのルールの更新はすべて、新しいルールです。
| 言語 | CWE | 説明 |
|---|---|---|
| C# ソース・コード・スキャナー | CWE-94 | CSharpScript.EvaluateAsync のチェック。 |
| CWE-532 | ユーザー名やパスワードなど個人識別情報 (PII) のログのチェック。 | |
| CWE-111 | DllImport の危険な使用のチェック。 |
|
| Java ソース・コード・スキャナー | CWE-532 | ユーザー名やパスワードなど個人識別情報 (PII) のログのチェック。 |
| CWE-102 | Struts 検証 XML ファイル内の重複フォーム名のチェック。 | |
| CWE-104 | 検証しないで ActionForm を拡張するクラスのチェック。 |
|
| PHP | CWE-111 | 安全でない呼び出しを含む FFI::cdef の使用のチェック。 |
| Python | CWE-111 | 引数の完全修飾パスを使用しない ctypes.DLL の使用のチェック。 |
2025-04-01
- 新規ルール
| 言語 | CWE | 説明 |
|---|---|---|
| すべての言語 | CWE-798 | ノイズ低減の改善 |
| C# | CWE-328 | Autofix は、より最新の関数呼び出しを適用します |
| CWE-1333 | 正規表現オブジェクトに適用されたタイムアウトの確認1 | |
| CWE-89 | String.Append を使用してクエリを作成することによる SQLi の新しいキャプチャー |
|
Microsoft.CodeAnalysis.CSharp.Scripting と Microsoft.AspNetCore.Mvc.ViewFeatures 用に更新されたセキュリティー情報 |
||
| ColdFusion | CWE-328 | パフォーマンスを向上させるためのチェックを調整 |
| HTML | CWE-319 | URL で localhost スタイルのノイズが発生しないようにします |
| IaC | CWE-770 | 2 つの新しい Autofix |
| CWE-311 | Amazon Load Balancer で適切な TLS 設定用の追加チェック | |
| Java | CWE-479 | Autofix の更新 |
| JavaScript | CWE-598 | JavaScript ファイルで URLSearchParams の欠陥を探しています。1 |
| Python | CWE-502 | Java で安全でない反映を探しています1 |
2024-12-11
| 言語 | CWE | 説明 |
|---|---|---|
| C# | CWE-78 | OS インジェクションのノイズの多い検出結果を削減するための調整。 |
| IaC | CWE-798 | TypeScript コード構成に対するノイズの多い検出結果を削減するための調整。 |
| CWE-1051 | HTML ファイルの IP パターンのノイズの多い検出結果を削減するための調整。 | |
| CWE-1328 | Docker イメージ参照のノイズの多い検出結果を削減するための調整。 | |
| HTML | CWE-79 | ファイル拡張子の新しいルール:
|
| CWE-319 | ||
| CWE-524 | ||
| CWE-525 | ||
| CWE-598 | ||
| CWE-1021 | ||
| CWE-1022 | ||
| JavaScript | CWE-209 | ノイズの多い検出結果を回避するための変更 |
| CWE-359 | ノイズの多い検出結果を回避するための変更 | |
| CWE-1022 | window.open の検出結果に対するノイズの多い検出結果を削減するための調整。 |
|
| シークレット | CWE-798 | URL クエリー文字列内のハードコードされたパスワードを検索。 |
| CWE-284 | Azure 共有アクセス・シグニチャー・トークン露出結果でノイズの多い検出結果を削減するための調整。 | |
| Visual Basic | CWE-78 | ノイズの多い検出結果を回避するための変更 |
| CWE-328 | ノイズの多い検出結果を回避するための変更 |
2024-12-03
注:
- 新規ルール
- ルール内のノイズを低減しました
| 言語 | CWE | 説明 |
|---|---|---|
| ASP.NET | CWE-1188 | プロジェクト構成で Cookieless セッション状態が有効になりました。2 |
| CWE-79 | コード内のインライン式の潜在的な XSS。2 | |
| C# | CWE-601 | 変数内にユーザー制御データを持つ可能性のあるリダイレクトの要求。2 |
| CWE-185 | 正規表現のインジェクション。2 | |
| IaC Terraform | CWE-410 | 安全でないロード・バランサーの設定。1 |
| Java | CWE-337 | Java コードにおける SecureRandom インスタンスのシードが予測可能。2 |
| CWE-918 | RestTemplate().exchange におけるサーバーサイド・リクエスト・フォージェリー。2 |
|
| CWE-185 | Java コードにおける正規表現のインジェクション。2 | |
| CWE-244 | Java 文字列オブジェクトに格納されたパスワード。2 | |
| JavaScript | CWE-79 | document.referrer. の安全でない使用。2 |
| PHP | CWE-79 | PHP 内のユーザー制御データが HTML に変換される。2 |
| Python Django | CWE-79 |
|
| CWE-89 | ||
| CWE-200 | ||
| CWE-201 | ||
| CWE-212 | ||
| CWE-352 | ||
| CWE-497 | ||
| CWE-522 | ||
| CWE-523 | ||
| CWE-795 | ||
| CWE-918 | ||
| CWE-1021 | ||
| CWE-1188 | ||
| CWE-1295 | ||
| シークレット | CWE-798 | ハードコードされた基本認証資格情報。1 |
| VB.NET | CWE-502 | シリアル化解除の可能性。2 |
2024 年 9 月 17 日
注:
- 新規ルール
- 新しい自動修正ルールまたは拡張された自動修正ルール
| 言語 | CWE | 変更 |
|---|---|---|
| Infrastructure as Code (IaC) | CWE-250 | Dockerfile で検出された apt-get コマンドの安全でない使用。1 |
| CWE-1328 | Dockerfile で検出された Base イメージ・バージョンの安全でない使用です。1 | |
| CWE-276 | デフォルトのセキュリティー・プロファイルが使用できません。2 | |
| JavaScript | CWE-1022 | リファラー情報が漏えいしています。2 |
| Kotlin | CWE-922 | Kotlin コードで不適切なデータ・ストレージ・アクセスの問題が検出されました。2 |
| PHP | CWE-98 | allow_url_fopen ディレクティブが有効です。2 |
| CWE-98 | allow_url_include ディレクティブが有効です。2 |
|
| CWE-94 | cgi.force_redirect ディレクティブが無効になっています。2 |
|
| CWE-614 | Secure 属性のない HTTPS セッションの機密 Cookie。2 |
|
| Python | CWE-732 | Django 設定での ALLOWED_HOSTS の安全でない使用。1 |
| CWE-539 | Django での安全でない CSRF またはセッション cookie の設定です。1 | |
| CWE-1021 | X_FRAME_OPTIONS を介した ClickjackingvAttack の可能性。1 |
|
| CWE-79 | Django テンプレートでの safe または safeseq フィルターの使用による XSS 脆弱性の可能性。1 |
|
| CWE-79 | Django HttpResponse の潜在的な XSS の脆弱性です。1 | |
| CWE-150 | 環境オブジェクトの自動エスケープを無効にするために、カバー範囲を拡張しました。2 | |
| CWE-539 | Django での安全でない CSRF またはセッション cookie の設定です。2 | |
| Ruby | CWE-78 | バックティックの安全でない使用。2 |
| CWE-78 | system メソッドの安全でない使用です。2 | |
| さび色 | CWE-295 | 証明書チェックがない可能性がある CMS メッセージ復号化を検出しました。2 |
| CWE-327 | 潜在的な弱い楕円曲線暗号の使用を検出しました。2 | |
| CWE-326 | 潜在的な弱い RSA キー長を検出しました。2 |
2024-09-04
一般更新:
-
スキャンで、縮小されたファイルはすべて回避されるようになりました。
System.Data.SQLite向けの .NET データ・フローのサポート。
注:
- 新規ルール
- 新規自動修正ルール
- ルール修正
| 言語 | CWE | 変更 | |
|---|---|---|---|
| .NET | ASP.NET | CWE-1188 | ASP.NET プロジェクト構成で Cookieless セッション状態が有効になりました。2. |
| C# | CWE-319 | オープン通信スキームを検出。2 | |
| CWE-328 | 脆弱な暗号アルゴリズムを検出しました。2 | ||
| CWE-327 | 署名検証のない JWT Builder を検出しました。2 | ||
| VB.NET | CWE-1173 | VB コードで HTTP 要求の検証が無効になっています。2. | |
| CWE-328 | VB コードで脆弱な暗号化アルゴリズムが使用されています。2. | ||
| Angular | CWE-94 | サンドボックス VM に潜在的なコード・インジェクションの脆弱性があります。1. | |
| Angular.js | CWE-477 | 見つかった非推奨の呼び出し: (ng-bind-html-unsafe).2 |
|
| Apex | CWE-943 | SOQL インジェクション。2. | |
| CWE-943 | SOSL インジェクション。2. | ||
| CWE-328 | 脆弱なハッシュ・アルゴリズムが選択されています。2 | ||
| CWE-79 | スクリプトまたはスタイルのクロスサイト・スクリプティング (XSS)。2 | ||
| ASP | CWE-319 | ASP コードで検出されたオープン通信スキーム。2 | |
| C/C++ | CWE-367 | 一時ファイル名関数の潜在的に危険な使用。コンテキストを修正し、自動修正を有効にしました。3. | |
| CWE-78 | 潜在的なコマンド・インジェクションを検出しました。範囲の拡大。3 | ||
| CWE-250 | 最小権限の原則に違反していると思われる CreateFile 呼び出し。2 |
||
| CWE-250 | CreateNamedPipe に FILE_FLAG_FIRST_PIPE_INSTANCE フラグがない。2 |
||
| CWE-757 | (SSL/TLS) プロトコルの安全ではない使用を検出しました。2. | ||
| CWE-295 | 危険の可能性がある Curl 構成の使用を検出しました (このカテゴリーには異なる 7 種類のルールがあります)。2. | ||
| CWE-427 | レジストリー操作の最小特権原則の可能性を検出しました。2. | ||
| CWE-611 | 安全でない外部エンティティー処理が有効です。2. | ||
| ColdFusion | CWE-524 | cfCache が安全なページをキャッシング。2 |
|
| CWE-502 | cfWddx に WDDX 検証がない。2 |
||
| CWE-862 | cfFunction でクライアントが検証されない。2 |
||
| CWE-319 | 安全ではない通信。2 | ||
| CWE-307 | 複数の送信の検証。2 | ||
| CWE-327 | 暗号化関数での安全でないアルゴリズムの使用。2 | ||
| Dart | CWE-522 | 潜在的に機密性の高いフィールドに対して AutoComplete がオンになっている。2 |
|
| CWE-319 | HttpServer でのオープン通信スキームの検出。2 |
||
| CWE-319 | オープン・ソケット通信を検出しました。2 | ||
| CWE-319 | Uri があるオープン通信スキームを検出しました。2 | ||
| CWE-79 | DART コードで安全ではないウィンドウのオープンが行われています。2. | ||
| CWE-319 | ストリングでオープン通信スキームを検出しました。2 | ||
| CWE-79 | 安全でないコンテンツ・セキュリティー・ポリシー・キーワードが見つかりました。2. | ||
| Docker | CWE-770 | サービス拒否 (DoS) 攻撃防止のために CPU を制限します。2. | |
| CWE-770 | サービス拒否 (DoS) 攻撃防止のために失敗時の再起動回数を制限します。2 | ||
| Go | CWE-489 | HTTP 用のデバッグ・パッケージ pprof を検出。2 |
|
| CWE-1004 | Golang コードに安全でない http.Cookie が含まれている。2 |
||
| CWE-319 | Golang コードでオープン通信スキームを検出しました。2 | ||
| Groovy | CWE-319 | Groovy コードでオープン通信スキームを検出しました。2 | |
| CWE-79 | Groovy ソース・コードで検出された潜在的なクロスサイト・スクリプティングの脆弱性により、全インスタンスに自動修正を追加しました。2 | ||
| Java | CWE-489 | Web セキュリティーでデバッグを有効にすると、Spring のデータが表示されます。2. | |
| CWE-1390 | SAML のコメントを無視すると、認証に失敗します。2. | ||
| CWE-548 | Tomcat 構成のデフォルト・サーブレットのディレクトリー一覧が安全ではありません。2. | ||
| CWE-276 | Java で安全ではないファイル許可の使用を検出しました。2 | ||
| CWE-489 | Java コードでプリント・スタック・トレースを検出しました。2. | ||
| CWE-489 | Android アプリケーションでデバッグ可能フラグが true に設定されている。2 | ||
| CWE-1188 | Android コードで不適切な共用プリファレンス・モードを検出しました。2 | ||
| JavaScript | CWE-359 | 安全ではないイベント送信ポリシー。コンテキストが修正され、自動修正が有効になりました。3. | |
| CWE-79 | jQuery.append で潜在的な XSS の脆弱性を検出。現在はパフォーマンスが向上。3 |
||
| CWE-79 | Mustache のエスケープ・メソッドをオーバーライドするのは危険です。2 | ||
| CWE-319 | 安全ではないイベント送信ポリシー。2 | ||
| Kotlin | CWE-319 | Kotlin コードでオープン通信を検出。2 | |
| NodeJS | CWE-614 | Cookie にセキュリティー・フラグがないか、フラグにセキュアではない値が設定されています。2 | |
| CWE-328 | 暗号化機能 createCipheriv での安全でないアルゴリズムの使用。2 |
||
| CWE-295 | node-curl を無効にするための SSL 証明書の検証の安全でない構成。2 | ||
| CWE-78 | Exec シェル生成を検出。2 | ||
| CWE-1004 | 欠落している HTTPOnly cookie 属性の安全でない設定。2 |
||
| Objective-C | CWE-319 | Objective-C コードでオープン通信スキームを検出。2 | |
| PHP | CWE-100411 | HttpOnly フラグのない機密 Cookie。2 |
|
| CWE-6141 | secure 属性のない HTTPS セッションの機密 Cookie。2 |
||
| CWE-7911 | 組み込み PHP 変数を検出。2 | ||
| CWE-981 | PHP コードで潜在的なファイル・インクルージョン脆弱性を検出。2 | ||
| CWE-6111 | PHP コードで潜在的な XML 外部エンティティー・インジェクションを検出。2 | ||
| CWE-78 | ユーザー提供データを使用する可能性のある PHP コマンドの実行。範囲の拡大。3 | ||
| CWE-644 | 潜在的なヘッダー・インジェクションを検出。範囲の拡大。3 | ||
| CWE-327 | 安全でないアルゴリズムの使用を検出。チェックおよび対象範囲の拡大。3 | ||
| CWE-319 | PHP Symfony フレームワークでオープン通信を検出。2 | ||
| CWE-1004 | setcookie の HTTPOnly フラグがないか、安全でない。2 |
||
| CWE-319 | オープン通信スキームを検出。2 | ||
| CWE-544 | error_reporting ディレクティブがエラー・レポートの可能な最高レベルを許可するように設定されていない2 |
||
| PL/SQL | CWE-331 | DBMS_RANDOM. の安全でない使用。2 |
|
| Python | CWE-311 | http を使用する URL。範囲の拡大。3 |
|
| CWE-311 | 一時ファイルの TOCTTOU 競合状態。範囲を固定して、自動修正を有効にしました。3 | ||
| CWE-367 | 一時ファイルの TOCTTOU 競合状態。2 | ||
| CWE-319 | http を使用する URL。2 |
||
| CWE-78 | Python OS インジェクション。2 | ||
| CWE-319 | セキュアではない FTP の使用です。2 | ||
| CWE-78 | Popen コマンド・インジェクションです。2 | ||
| CWE-276 | 777 を umask とともに使用しています。2 | ||
| ReactNative | CWE-319 | オープン通信を検出。コンテキストを修正し、自動修正を有効にしました。3. | |
| CWE-319 | オープン通信を検出。2 | ||
| CWE-295 | SSL Pinning の無効化を検出。2 | ||
| RPG | CWE-319 | コードでオープン通信を検出しました。2 | |
| Ruby | CWE-78 | バックティック正規表現の安全ではない使用の改善が必要です。範囲の拡大。3 | |
| CWE-78 | バックティックの安全でない使用。範囲の拡大。3 | ||
| CWE-425 | Ruby の一括割り当て。2 | ||
| CWE-359 | Ruby の情報開示です。2 | ||
| Scala | CWE-319 | Scala コードでオープン通信スキームを検出しました。2 | |
| CWE-79 | Cookie アクセス経由の潜在的なクライアント・サイド・スクリプティング脆弱性を Scala ソース・コードで検出しました。2 | ||
| シークレット | CWE-1051 | ハードコードされた IP アドレスを検出。範囲の拡大。3 | |
| CWE-798 | ハードコードされた資格情報を検出。範囲の拡大。3 | ||
| Swift | CWE-319 | Swift コードでオープン通信スキームを検出しました。2 | |
| CWE-79 | iOS UIWebView で loadRequest() を使用するときに潜在的なクロスサイト・スクリプティング脆弱性。2 |
||
| Terraform | CWE-359 | ユーザー・データ・シークレットを公開する AWS インスタンスを検出。2 | |
| CWE-778 | Azure ログ監視プロファイルでは、すべての必須カテゴリーを定義することが必要。2 | ||
| CWE-732 | デフォルトのサービス・アカウントが、フォルダー、プロジェクト、または組織レベルで使用されています。2 | ||
| CWE-671 | E メール・サービスと共同管理者が SQL Server で有効になっていません。2 | ||
| CWE-923 | Azure ストレージ・アカウントのデフォルト・ネット・ワーク・アクセスが「拒否」に設定されるようにします。2 | ||
| CWE-923 | GCP ファイアウォール・ルールでアクセスを無制限に許可しないようにします。2. | ||
| CWE-732 | Google Compute インスタンスがパブリックにアクセス可能です。2 | ||
| CWE-732 | Google ストレージ・バケットがパブリックにアクセス可能です。2. | ||
| CWE-732 | Amazon S3 バケットの安全ではないアクセス許可。2 | ||
| Visual Basic | CWE-319 | VB コードで検出されたオープン通信スキーム。2 | |
| Xamarin | CWE-319 | Xamarin でオープン通信を検出。2 | |
2024-08-06
| 言語 | CWE | 変更 |
|---|---|---|
| 全般 | CWE-319 | すべての言語のオープン・コミュニケーション・ルールをより適切に処理し、ノイズの多い検出結果を回避 |
| Angular | CWE-312 | ローカルストレージが並べ替えの方向に関連する setItem 呼び出しを回避する。 |
| ASP | CWE-79 | Server.HTMLEncode を使用して適切な検証を確認する。 |
| CSS |
CWE-79 |
ノイズの多い検出結果を回避するための変更 |
| Dart | CWE-328 | 検出結果をより選択的に表示して、明らかにノイズである検出結果を回避します。 |
| CWE-319 |
ノイズの多い検出結果を回避するための変更 |
|
| Java ソース・コード・スキャナー | CWE-918 | RestTemplate().exchange コールでの SSRF の検出。 |
| CWE-303 | 危険な NoOpPasswordEncoder.getInstance 呼び出しを検出。 |
|
| CWE-89 | SQLi の追加ケースを検出しました。 | |
| CWE-22 | パス・トラバーサルの問題が発生する可能性がある場所を検出しました。 | |
| CWE-798 | HashMap.put の呼び出しおよびセッターでハードコードされた資格情報を検出。 |
|
| JavaScript | CWE-200 | 危険なターゲット・オリジン・チェックのチェックが window.postMessage 呼び出しに追加された。 |
| CWE-913 | ノイズの多い検出結果を削減する修正を行いました。 | |
| JQuery | CWE-79 | ノイズの多い検出結果を削減する修正を行いました。 |
| Objective-C | CWE-798 | ノイズの多い検出結果をさらに削減する修正を行いました。 |
| PHP | CWE-798 | 値をチェックして、コードにプレーン・テキストで格納されているパスワードであると思われる文字列リテラルであるかどうかを確認します。 |
| Python | CWE-319 | 状況による置換の誤りに対応して自動修正を修正しました。 |
| シークレット・スキャン | CWE-798 | 最小化された JS ファイルを回避。 |
| 翻訳ファイルの分析を回避してノイズを削減します。 | ||
| TerraForm | CWE-1220 | エグレス・セキュリティー・グループ cidr_blocks の新しいルール・チェックの設定が寛容すぎる。 |
| TypeScript | CWE-943 | TypeScript ファイルで NoSQL MongoDB インジェクションを探索。 |
| SQLi の追加ケースを探索。 | ||
| VueJS | CWE-79 | メソッド宣言で見つかった場合に結果が生成されないように変更しました。 |