EN JP CN

DISA STIG ID とKlocwork Java チェッカーのマッピング

DISA STIG ID とKlocwork Java チェッカーのマッピング

この記事では、DISA Security Technical Implementation Guide ID とKlocwork Java チェッカーのマッピングを示します。DISA STIG の詳細については、STIG Web サイトを参照してください。

DISA STIG ID Java チェッカーコードと説明
APP2060.4

JD.THREAD.RUN  'Thread.run' メソッドが明示的に呼び出されています

JD.UMC.FINALIZE  'Object.finalize' メソッドが明示的に呼び出されています

JD.UMC.RUNFIN  runFinalizersOnExit() が呼び出されています

APP3050

JD.UN.MET  未使用の non-private メソッド

JD.UN.PMET  未使用の private メソッド

JD.VNU  変数はいずれかのパスで代入された後に一度も読み取られていません

JD.VNU.NULL  変数はいずれかのパスで null が代入された後に一度も読み取られていません

SV.UMD.MAIN  デバッグ コードの削除忘れ - main メソッド

APP3080

SV.PATH  パスまたはファイル名のインジェクション

APP3100

SV.DOS.TMPFILEDEL  JVM のライフタイムの間一時ファイルが存続します

SV.DOS.TMPFILEEXIT  一時ファイルが存続します

APP3120

ECC.EMPTY  Catch 節が空です

EXC.BROADTHROWS  過度に広範な範囲に対応するメソッドが宣言をスローしています

JD.CATCH  ランタイム例外のキャッチ

JD.UNCAUGHT  例外がキャッチされていません

RI.IGNOREDCALL  immutable オブジェクトに対して呼び出されたメソッドから返された値が無視されています

RI.IGNOREDNEW  新規に作成されたオブジェクトが無視されています

RR.IGNORED  戻り値が無視されています

APP3150.2

SV.RANDOM  安全ではない乱数ジェネレータの使用

APP3310

SV.PASSWD.PLAIN  プレーンテキストのパスワード

APP3320.1

SV.PASSWD.HC.EMPTY  空のパスワード

APP3330

SV.PASSWD.PLAIN  プレーンテキストのパスワード

APP3340

SV.PASSWD.HC  ハードコードされたパスワード

SV.PASSWD.PLAIN  プレーンテキストのパスワード

APP3350

SV.PASSWD.HC  ハードコードされたパスワード

SV.PASSWD.HC.EMPTY  空のパスワード

APP3510

SV.DATA.BOUND  信頼できないデータが信頼できるストレージにリークしています

SV.LDAP  未検証のユーザ入力が LDAP フィルタとして使用されています

SV.XPATH  未検証のユーザ入力が XPath 式として使用されています

APP3530

SV.DATA.DB  データ インジェクション

SV.SQL  SQL インジェクション

SV.SQL.DBSOURCE  未検証のデータベースからの情報がSQL文に使用されています

SV.STRUTS.NOTVALID  ステータス フォーム:検証が整合していません

SV.STRUTS.VALIDMET  ステータス フォーム: validate メソッド

APP3540.1

SV.DATA.DB  データ インジェクション

SV.SQL  SQL インジェクション

SV.SQL.DBSOURCE  未検証のデータベースからの情報がSQL文に使用されています

SV.STRUTS.NOTVALID  ステータス フォーム:検証が整合していません

SV.STRUTS.VALIDMET  ステータス フォーム: validate メソッド

APP3540.4

SV.SQL.DBSOURCE  未検証のデータベースからの情報がSQL文に使用されています

APP3550

SV.INT_OVF  不正データが整数オーバーフローを引き起こす可能性があります

APP3570

SV.DATA.BOUND  信頼できないデータが信頼できるストレージにリークしています

SV.LDAP  未検証のユーザ入力が LDAP フィルタとして使用されています

SV.PATH  パスまたはファイル名のインジェクション

SV.PATH.INJ  ファイル インジェクション

APP3580

SV.DATA.DB  データ インジェクション

SV.HTTP_SPLIT  HTTP 応答分割

SV.STRUTS.NOTVALID  ステータス フォーム:検証が整合していません

SV.STRUTS.VALIDMET  ステータス フォーム: validate メソッド

SV.XSS.DB  クロスサイト スクリプティング (Stored XSS)

SV.XSS.REF  クロスサイト スクリプティング (Reflected XSS)

APP3590.1

SV.TAINT_NATIVE  不正データがネイティブ コードに渡されています

APP3620

SV.IL.DEV  設計情報の漏洩

SV.IL.FILE  ファイル名のリーク

SV.STRUTS.NOTRESET  ステータス フォーム:リセットが整合していません

APP3630.1

JD.NEXT  'NoSuchElementException' の可能性があります

JD.SYNC.IN  一貫性のない同期化

SV.STRUTS.STATIC  ステータス フォーム: static フィールド

APP3630.3

JD.THREAD.RUN  'Thread.run' メソッドが明示的に呼び出されています

SV.SHARED.VAR  サーブレットから static 変数への非同期アクセス

SV.UMC.THREADS  好ましくない手法:スレッド管理の使用

APP3630.4

JD.LOCK  取得したロックを解放していません

JD.LOCK.NOTIFY  ロックが保持された状態で 'notify' メソッドが呼び出されています

JD.LOCK.SLEEP  ロックが保持された状態で 'sleep' メソッドが呼び出されています

JD.LOCK.WAIT  ロックが保持された状態で 'wait' メソッドが呼び出されています

APP3760

SV.DOS.ARRSIZE  不正なサイズが配列割り当てに使用されています

SV.DOS.TMPFILEDEL  JVM のライフタイムの間一時ファイルが存続します

SV.DOS.TMPFILEEXIT  一時ファイルが存続します

SV.EXEC  プロセス インジェクション

SV.EXEC.ENV  プロセス インジェクション。環境変数

SV.SHARED.VAR  サーブレットから static 変数への非同期アクセス

SV.TAINT_NATIVE  不正データがネイティブ コードに渡されています

SV.TMPFILE  一時ファイルのパス改ざん

SV.UMC.EXIT  System.exit() および Runtime.exit() メソッドの呼び出しをサーブレット コードで使用すべきではありません

APP3780

SV.DOS.ARRINDEX  不正なインデックスが配列アクセスに使用されています

SV.DOS.ARRSIZE  不正なサイズが配列割り当てに使用されています

SV.DOS.TMPFILEDEL  JVM のライフタイムの間一時ファイルが存続します

SV.DOS.TMPFILEEXIT  一時ファイルが存続します

SV.EXEC  プロセス インジェクション

SV.EXEC.ENV  プロセス インジェクション。環境変数

SV.SHARED.VAR  サーブレットから static 変数への非同期アクセス

SV.TAINT_NATIVE  不正データがネイティブ コードに渡されています

SV.TMPFILE  一時ファイルのパス改ざん

SV.UMC.EXIT  System.exit() および Runtime.exit() メソッドの呼び出しをサーブレット コードで使用すべきではありません

APP3800

JD.INF.AREC  見かけ上の無限再帰

JD.LOCK  取得したロックを解放していません

JD.LOCK.NOTIFY  ロックが保持された状態で 'notify' メソッドが呼び出されています

JD.LOCK.SLEEP  ロックが保持された状態で 'sleep' メソッドが呼び出されています

JD.LOCK.WAIT  ロックが保持された状態で 'wait' メソッドが呼び出されています

APP3810

SV.XPATH  未検証のユーザ入力が XPath 式として使用されています