ルールの更新

ASoC の最近のルール更新

2024-09-17

注:

新規ルール
新しい自動修正ルールまたは拡張された自動修正ルール


言語	CWE	変更
Infrastructure as Code (IaC)	CWE-250	Dockerfile で検出された `apt-get` コマンドの安全でない使用です。¹
	CWE-1328	Dockerfile で検出された Base イメージ・バージョンの安全でない使用です。¹
	CWE-276	デフォルトのセキュリティー・プロファイルが使用できません。²
JavaScript	CWE-1022	リファラー情報が漏えいしています。²
Kotlin	CWE-922	Kotlin コードで不適切なデータ・ストレージ・アクセスの問題が検出されました。²
PHP	CWE-98	`allow_url_fopen` ディレクティブが有効になっています。²
	CWE-98	`allow_url_include` ディレクティブが有効になっています。²
	CWE-94	`cgi.force_redirect` ディレクティブが無効になっています。²
	CWE-614	`Secure` 属性のない HTTPS セッションの機密 cookie です。²
Python	CWE-732	Django 設定での `ALLOWED_HOSTS` の安全でない使用です。¹
	CWE-539	Django での安全でない CSRF またはセッション cookie の設定です。¹
	CWE-1021	`X_FRAME_OPTIONS` 経由の潜在的な ClickjackingvAttack です。¹
	CWE-79	Django テンプレートでの `safe` または `safeseq` フィルターの使用による潜在的な XSS の脆弱性です。¹
	CWE-79	Django HttpResponse の潜在的な XSS の脆弱性です。¹
	CWE-150	環境オブジェクトの自動エスケープを無効にするために、カバー範囲を拡張しました。²
	CWE-539	Django での安全でない CSRF またはセッション cookie の設定です。²
Ruby	CWE-78	バックチックの安全でない使用です。²
Ruby	CWE-78	system メソッドの安全でない使用です。²
さび色	CWE-295	証明書チェックがない可能性がある CMS メッセージ復号化を検出しました。²
	CWE-327	潜在的な弱い楕円曲線暗号の使用を検出しました。²
	CWE-326	潜在的な弱い RSA キー長を検出しました。²

2024-09-04

一般更新:

スキャンで、縮小されたファイルはすべて回避されるようになりました。
.NET データ・フローの System.Data.SQLite のサポートです。

注:

新規ルール
新規自動修正ルール
ルール修正


言語		CWE	変更
.NET	ASP.NET	CWE-1188	ASP.NET プロジェクト設定で cookieless セッション状態が有効になっています。^2.
	C#	CWE-319	オープン通信スキームを検出しました。²
		CWE-328	脆弱な暗号アルゴリズムを検出しました。²
		CWE-327	署名検証のない JWT ビルダーを検出しました。²
	VB.NET	CWE-1173	VB コードで HTTP 要求の検証が無効になっています。^2.
	VB.NET	CWE-328	VB コードで脆弱な暗号化アルゴリズムが使用されています。^2.
Angular		CWE-94	サンドボックス VM に潜在的なコード・インジェクションの脆弱性があります。^1.
Angular.js		CWE-477	見つかった非推奨の呼び出し: (`ng-bind-html-unsafe`)。²
Apex		CWE-943	SOQL インジェクションです。^2.
		CWE-943	SOSL インジェクションです。^2.
		CWE-328	脆弱なハッシュ・アルゴリズムが選択されました。²
		CWE-79	スクリプトまたはスタイルのクロスサイト・スクリプティング (XSS)です。²
ASP		CWE-319	ASP コードでオープン通信スキームを検出しました。²
C/C++		CWE-367	一時ファイル名関数の潜在的に危険な使用です。コンテキストを修正し、自動修正を有効にしました。^3.
		CWE-78	潜在的なコマンド・インジェクションを検出しました。カバー範囲を拡大しました。^3.
		CWE-250	最小特権の原則に違反していると思われる `CreateFile` 呼び出しです。^2.
		CWE-250	`CreateNamedPipe` に `FILE_FLAG_FIRST_PIPE_INSTANCE` フラグがありません。^2.
		CWE-757	(SSL/TLS) プロトコルの安全ではない使用を検出しました。^2.
		CWE-295	Curl 設定の危険な使用を検出しました (このカテゴリーには異なる 7 種類のルールがあります)。^2.
		CWE-427	最小権限レジストリー操作の潜在的な潜在的な原則を検出しました。^2.
		CWE-611	安全でない外部エンティティー処理が有効になっています。^2.
ColdFusion		CWE-524	`cfCache` によるセキュア・ページのキャッシングです。²
		CWE-502	`cfWddx` に WDDX 検証がありません。²
		CWE-862	`cfFunction` でクライアントが検証されていません。²
		CWE-319	安全ではない通信です。^2.
		CWE-307	複数の送信の検証です。²
		CWE-327	暗号化関数での安全でないアルゴリズムが使用されています。^2.
Dart		CWE-522	潜在的に機密性の高いフィールドに対して `AutoComplete` がオンになりました。^2.
		CWE-319	`HttpServer` で検出されたオープン通信スキーム ^2.
		CWE-319	オープン・ソケット通信を検出しました。^2.
		CWE-319	Uri で検出されたオープン通信スキーム ^2.
		CWE-79	DART コードで安全ではないウィンドウのオープンが行われています。^2.
		CWE-319	ストリングでオープン通信スキームを検出しました。²
		CWE-79	安全でないコンテンツ・セキュリティー・ポリシー・キーワードが見つかりました。^2.
Docker		CWE-770	サービス拒否 (DoS) 攻撃防止のために CPU を制限します。^2.
Docker		CWE-770	サービス拒否 (DoS) 攻撃防止のために失敗時の再起動回数を制限します。²
Go		CWE-489	HTTP 用のデバッグ・パッケージ `pprof` を検出しました。²
		CWE-1004	Golang コードに安全ではない `http.Cookie` があります。²
		CWE-319	Golang コードでオープン通信スキームを検出しました。²
Groovy		CWE-319	Groovy コードでオープン通信スキームを検出しました。²
Groovy		CWE-79	Groovy ソース・コードで検出された潜在的なクロスサイト・スクリプティングの脆弱性により、全インスタンスに追加の自動修正を追加しました。^2.
Java		CWE-489	Web セキュリティーでデバッグを有効にすると、Spring のデータが表示されます。^2.
		CWE-1390	SAML のコメントを無視すると、認証に失敗します。^2.
		CWE-548	tomcat 設定のデフォルト・サーブレットのディレクトリー一覧が安全ではありません。^2.
		CWE-276	Java で安全ではないファイル権限の使用を検出しました。²
		CWE-489	Java コードで printStackTrace を検出しました。^2.
		CWE-489	Android アプリケーションでデバッグ可能フラグが true に設定されています。²
		CWE-1188	Android コードで不適切な共用プリファレンス・モードを検出しました。²
JavaScript		CWE-359	安全ではないイベント送信ポリシーです。コンテキストが修正され、自動修正が有効になりました。^3.
		CWE-79	`jQuery.append` で XSS の潜在的な脆弱性を検出しました。今すぐパフォーマンスを向上します。^3.
		CWE-79	Mustache のエスケープ・メソッドを上書きするのは危険です。^2.
		CWE-319	安全ではないイベント送信ポリシーです。²
Kotlin		CWE-319	Kotlin コードでオープン通信を検出しました。²
NodeJS		CWE-614	Cookie にセキュリティー・フラグがないか、フラグにセキュアではない値が設定されています。²
		CWE-328	暗号の `createCipheriv` に安全ではないアルゴリズムが使用されています。^2.
		CWE-295	Node-curl を使用不可にするための SSL 証明書の検証の設定がセキュアではありません。²
		CWE-78	Exec シェルで spawn を検出しました。^2.
		CWE-1004	`HTTPOnly` Cookie 属性がないセキュアではない設定です。²
Objective-C		CWE-319	Objective-C コードでオープン通信スキームを検出しました。²
PHP		CWE-1004¹	機密 cookie に `HttpOnly` フラグがありません。²
		CWE-614¹	HTTPS セッションの機密 cookie に `Secure` 属性がありません。^2.
		CWE-79¹	組み込み PHP 変数を検出しました。²
		CWE-98¹	PHP コードで潜在的なファイル・インクルード脆弱性を検出しました。^2.
		CWE-611¹	PHP コードで潜在的な XML 外部エンティティー・インジェクションを検出しました。²
		CWE-78	ユーザー提供データを使用する可能性のある PHP コマンドの実行です。カバー範囲を拡大しました。^3.
		CWE-644	潜在的なヘッダー・インジェクションを検出しました。カバー範囲を拡大しました。^3.
		CWE-327	安全ではないアルゴリズムの使用を検出しました。チェック範囲を拡大しました。カバー範囲を拡大しました。^3.
		CWE-319	PHP Symfony フレームワークでオープン通信を検出しました。²
		CWE-1004	`setcookie` に `HTTPOnly` フラグがないか、安全ではありません。²
		CWE-319	オープン通信スキームを検出しました。²
		CWE-544	`error_reporting` ディレクティブがエラー・レポートの可能な最高レベルを許可するように設定されていません。²
PL/SQL		CWE-331	`DBMS_RANDOM` の安全ではない使用です。²
Python		CWE-311	`http` を使用する URL です。カバー範囲を拡大しました。^3.
		CWE-311	TOCTTOU 競合状態の一時ファイルです。カバー範囲を固定して、自動修正を有効にしました。^3.
		CWE-367	TOCTTOU 競合状態の一時ファイルです。²
		CWE-319	`http` を使用する URLです。²
		CWE-78	Python OS インジェクションです。²
		CWE-319	セキュアではない FTP の使用です。²
		CWE-78	Popen コマンド・インジェクションです。²
		CWE-276	777 を umask とともに使用しています。²
ReactNative		CWE-319	オープン通信を検出しました。コンテキストが修正され、自動修正が有効になりました。^3.
		CWE-319	オープン通信を検出しました。²
		CWE-295	SSL Pinning の使用不可処理を検出しました。²
RPG		CWE-319	コードでオープン通信を検出しました。²
Ruby		CWE-78	backticks regex の安全ではない使用の改善が必要です。カバー範囲を拡大しました。^3.
		CWE-78	バックチックの安全でない使用です。カバー範囲を拡大しました。^3.
		CWE-425	Ruby の一括割り当てです。²
		CWE-359	Ruby の情報開示です。²
Scala		CWE-319	Scala コードでオープン通信スキームを検出しました。²
Scala		CWE-79	Cookie アクセス経由の潜在的なクライアント・サイド・スクリプティング脆弱性を Scala ソース・コードで検出しました。²
シークレット		CWE-1051	ハードコードされた IP アドレスを検出しました。カバー範囲を拡大しました。^3.
シークレット		CWE-798	ハードコードされた資格情報を検出しました。カバー範囲を拡大しました。^3.
Swift		CWE-319	Swift コードでオープン通信スキームを検出しました。²
Swift		CWE-79	iOS `UIWebView` での `loadRequest()` 使用時の潜在的なクロスサイト・スクリプティング脆弱性です。²
Terraform		CWE-359	ユーザー・データ・シークレットを公開する AWS インスタンスを検出しました。^2.
		CWE-778	Azure ログ監視プロファイルでは、すべての必須カテゴリーを定義する必要があります。^2.
		CWE-732	デフォルトのサービス・アカウントは、フォルダー、プロジェクト、組織レベルで使用されます。^2.
		CWE-671	メール・サービスと共同管理者が SQL サーバーで有効になっていません。^2.
		CWE-923	Azure ストレージ・アカウントのデフォルト・ネット・ワークアクセスを「拒否」に設定するようにしてください。^2.
		CWE-923	GCP ファイアウォール・ルールでアクセスを無制限に許可しないようにしてください。^2.
		CWE-732	Google Compute インスタンスがパブリックにアクセス可能です。^2.
		CWE-732	Google ストレージ・バケットがパブリックにアクセス可能です。^2.
		CWE-732	Amazon S3 バケットの安全ではないアクセス権限です。^2.
Visual Basic		CWE-319	VB コードでオープン通信スキームを検出しました。²
Xamarin		CWE-319	Xamarin でオープン通信を検出しました。²

2024-08-06


言語	CWE	変更
全般	CWE-319	すべての言語のオープン・コミュニケーション・ルールをより適切に処理し、ノイズの多い検出結果を回避
Angular	CWE-312	ローカル・ストレージがソートの方向に関連する `setItem` 呼び出しを回避しています。
ASP	CWE-79	`Server.HTMLEncode` を使用して適切な検証をチェックします。
CSS	CWE-79	ノイズの多い検出結果を回避するための変更
Dart	CWE-328	検出結果をより選択的に表示して、明らかにノイズが多い検出結果を回避します。
Dart	CWE-319	ノイズの多い検出結果を回避するための変更
Java ソース・コード・スキャナー	CWE-918	`RestTemplate().exchange` 呼び出しで SSRF を検出しました。
	CWE-303	危険な `NoOpPasswordEncoder.getInstance` 呼び出しを検出しました。
	CWE-89	SQLi の追加ケースを検出しました。
	CWE-22	パス・トラバーサルの問題が発生する可能性がある場所を検出しました。
	CWE-798	`HashMap.Put` の呼び出しおよびセッターでハードコードされた資格情報を検出しました。
JavaScript	CWE-200	`window.postMessage` 呼び出しに、危険なターゲット・オリジン・チェックのチェックを追加しました。
JavaScript	CWE-913	ノイズの多い検出結果を削減する修正を行いました。
JQuery	CWE-79	ノイズの多い検出結果を削減する修正を行いました。
Objective-C	CWE-798	ノイズの多い検出結果をさらに削減する修正を行いました。
PHP	CWE-798	値をチェックして、コードに格納されているプレーン・テキストの可能性のあるパスワードを表す文字列リテラルであるかどうかを確認します。
Python	CWE-319	状況によっては誤った入れ替えに対応するように自動修正を修正しました。
シークレット・スキャン	CWE-798	最小化された JS ファイルを回避します。
シークレット・スキャン	CWE-798	翻訳ファイルの分析を回避してノイズを減らします。
TerraForm	CWE-1220	出力セキュリティー・グループの `cidr_blocks` が過度に許可されているかどうかをチェックする新しいルールです。
TypeScript	CWE-943	TypeScript ファイルで NoSQL MongoDB インジェクションを探します。
TypeScript	CWE-943	SQLi の追加ケースを探します。
VueJS	CWE-79	メソッド宣言で見つかった場合に結果が生成されないように変更しました。