JP2010117887A - Vulnerability determining device, vulnerability determination method, and vulnerability determination program - Google Patents
Vulnerability determining device, vulnerability determination method, and vulnerability determination program Download PDFInfo
- Publication number
- JP2010117887A JP2010117887A JP2008290689A JP2008290689A JP2010117887A JP 2010117887 A JP2010117887 A JP 2010117887A JP 2008290689 A JP2008290689 A JP 2008290689A JP 2008290689 A JP2008290689 A JP 2008290689A JP 2010117887 A JP2010117887 A JP 2010117887A
- Authority
- JP
- Japan
- Prior art keywords
- vulnerability
- information
- development
- determination
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、脆弱性判定装置、脆弱性判定方法及び脆弱性判定プログラムに関するものであり、特にプログラムの脆弱性を判定する脆弱性判定装置、脆弱性判定方法及び脆弱性判定プログラムに関する。 The present invention relates to a vulnerability determination device, a vulnerability determination method, and a vulnerability determination program, and more particularly to a vulnerability determination device, a vulnerability determination method, and a vulnerability determination program for determining the vulnerability of a program.
脆弱性を判定するシステムは、脆弱性を判定するプログラムに関連するキーワードを入力することによって、脆弱性の判定を実行する。例えば、ユーザが脆弱性の判定対象となるプログラムをJAVA(登録商標)で開発している場合には、脆弱性判定システムは、このプログラムの実行時に使用されるJRE(Java Runtime Environment)(登録商標)をキーワードとして入力し、プログラムの脆弱性の有無を検索する。
非特許文献1に記載の脆弱性を検索するシステムは、ユーザがプログラムの脆弱性を判定する場合には、プログラムに関連する所望のキーワードを入力し、入力したキーワードに該当する脆弱性情報を、脆弱性情報が格納されているデータベースから検索して表示する。
The system for determining the vulnerability executes the determination of the vulnerability by inputting a keyword related to the program for determining the vulnerability. For example, when a user develops a program to be determined for vulnerability with JAVA (registered trademark), the vulnerability determination system uses JRE (Java Runtime Environment) (registered trademark) used when executing this program. ) As a keyword to search for program vulnerabilities.
In the system for searching for vulnerabilities described in Non-Patent Document 1, when the user determines the vulnerability of the program, the user inputs a desired keyword related to the program, and the vulnerability information corresponding to the input keyword is entered. Search from the database where vulnerability information is stored and display it.
また、特許文献1には、権限昇格、DoS(Denial of Service attack)、XSS(Cross Site Scripting)及びHTTP(Hyper Text Transfer Protocol)等の脆弱性キーワードDB(DataBase)に格納された脆弱性に関連するキーワード、並びにOS(Operating System)名、HW(HardWare)名、使用SW(SoftWare)名及び使用ライブラリ名等の製品DBに格納された製品に関連するキーワードを用いて、調査対象とすべき脆弱性情報を効果的に提示する技術が開示されている。特許文献1に記載の装置においても、ユーザがプログラムの脆弱性を判定する場合には、非特許文献1と同様に、プログラムに関連するキーワードを入力し、入力されたキーワードによって、提示された脆弱性情報を検索することによって行うことができる。 Further, Patent Document 1 relates to vulnerabilities stored in vulnerability keyword DBs (DataBase) such as privilege escalation, DoS (Denial of Service attack), XSS (Cross Site Scripting), and HTTP (Hyper Text Transfer Protocol). Vulnerability to be investigated using keywords related to products stored in the product DB, such as operating system names, OS (Operating System) names, HW (HardWare) names, used SW (SoftWare) names, and used library names. A technique for effectively presenting sex information is disclosed. Also in the device described in Patent Document 1, when a user determines the vulnerability of a program, as in Non-Patent Document 1, a keyword related to the program is input, and the vulnerability indicated by the input keyword is input. This can be done by searching for sex information.
一方、ソフトウェア開発もしくはシステム開発において、プログラムを作成する場合には、開発段階のそれぞれにおいて、開発ドキュメント、ソースコード及びプログラム等の開発情報が作成される。
しかし、上述のような、キーワードを入力することによって脆弱性を判定する場合は、ユーザの検索のしかたによっては、特定の開発情報のみに基づいて、プログラムの脆弱性を判定してしまう場合がある。例えば、プログラムで使用しているライブラリ関数について脆弱性を判定するというように、ソースコードから確認できるキーワードのみを使用して脆弱性を判定してしまう場合である。
On the other hand, when creating a program in software development or system development, development information such as a development document, a source code, and a program is created at each development stage.
However, when the vulnerability is determined by inputting a keyword as described above, the vulnerability of the program may be determined based only on specific development information depending on how the user searches. . For example, the vulnerability is determined using only keywords that can be confirmed from the source code, such as determining the vulnerability of a library function used in the program.
なお、特許文献2には、ソフトウェア開発において作成される生産物、生産物の変更要因、試験に関わる情報を連携して管理する技術が開示されている。
また、特許文献3には、ネットワークを介して、複数のデータファイルを取得し、取得したデータファイルに対して、所定の切り出しルールと用語の関係記述であるオントロジを利用して、必要な情報を抽出することで、Web上に公開されている様々な領域のカタログを、自動的に切り出すことを可能とする技術が開示されている。
Patent Document 2 discloses a technique for managing in cooperation the product created in software development, the change factor of the product, and information related to the test.
In Patent Document 3, a plurality of data files are acquired via a network, and necessary information is acquired from the acquired data files using an ontology that is a relationship description between a predetermined clipping rule and a term. A technique is disclosed that can automatically extract catalogs of various areas that are open to the public by extracting.
さらに、特許文献4には、データベースに記録されている脆弱性に関するデータに基づいて、支援ツールを利用して作成した製品のセキュリティ対策の脆弱性を判定することにより、顧客や製品開発関係者が有するセキュリティに関する知識や経験の水準によらずに、脆弱性を判定することができる技術が開示されている。
また、特許文献5には、入力されたURL(Uniform Resource Locator)に応じたWeb(World Wide Web)ページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得する処理を繰り返すことにより、公開されている脆弱性情報を幅広く収集することができる技術が開示されている。
Further, in Patent Document 5, a Web (World Wide Web) page corresponding to an input URL (Uniform Resource Locator) is acquired, and a Web page corresponding to a URL serving as a link included in the acquired Web page is acquired. A technique that can collect a wide range of disclosed vulnerability information by repeating the process is disclosed.
背景技術に記載した技術によって脆弱性を判定する場合には、特定の開発情報のみによって、プログラムの脆弱性を判定してしまうという問題がある。 When the vulnerability is determined by the technique described in the background art, there is a problem that the vulnerability of the program is determined only by specific development information.
本発明の目的は、上述したような課題である特定の開発情報のみによって、プログラムの脆弱性を判定してしまうという問題を解決することができる脆弱性判定装置、脆弱性判定方法及び脆弱性判定プログラムを提供することにある。 An object of the present invention is to provide a vulnerability determination device, a vulnerability determination method, and a vulnerability determination that can solve the problem of determining the vulnerability of a program only by specific development information, which is a problem as described above. To provide a program.
本発明にかかる脆弱性判定装置は、種類に応じて分類された開発情報を、それぞれ関連付けられて格納する開発情報記憶部と、脆弱性情報を格納する脆弱性情報記憶部と、 所定種類の開発情報について脆弱性を判定する場合に、当該判定対象となる開発情報の種類に関連付けられた種類の開発情報も判定対象に含めて、当該判定対象の開発情報及び前記脆弱性情報記憶部に格納された脆弱性情報に基づいて、プログラムの脆弱性を判定する判定処理部を備えたものである。 The vulnerability determination device according to the present invention includes a development information storage unit that stores development information classified according to type in association with each other, a vulnerability information storage unit that stores vulnerability information, and a predetermined type of development. When determining vulnerability for information, the development information of the type associated with the type of development information to be determined is also included in the determination target, and stored in the determination target development information and the vulnerability information storage unit. And a determination processing unit for determining the vulnerability of the program based on the vulnerability information.
本発明により、特定の開発情報のみによって、プログラムの脆弱性を判定してしまうという問題を解決することができる脆弱性判定装置、脆弱性判定方法及び脆弱性判定プログラムを提供することができる。 According to the present invention, it is possible to provide a vulnerability determination device, a vulnerability determination method, and a vulnerability determination program that can solve the problem of determining the vulnerability of a program only by specific development information.
発明の実施の形態1.
図1は、本発明の実施の形態1にかかる脆弱性判定装置の概略を示すブロック図である。
ここで、本発明の実施の形態における脆弱性とは 、プログラムの適切な実行を阻害する要因をいう。例えば、プログラムが動作するハードウェア、プログラムが動作するOS、プログラム自身が有している欠陥、バグ、誤設定及び仕様上の問題点等であり、プログラムの誤動作や不正アクセスによるシステムの乗っ取り、情報漏洩及びデータの改ざん等の要因となるものをいう。
Embodiment 1 of the Invention
FIG. 1 is a block diagram showing an outline of the vulnerability determination device according to the first exemplary embodiment of the present invention.
Here, the vulnerability in the embodiment of the present invention refers to a factor that hinders proper execution of a program. For example, the hardware on which the program operates, the OS on which the program operates, the defects, bugs, misconfigurations, and specification problems of the program itself, system hijacking due to program malfunction or unauthorized access, information This refers to factors that cause leakage and data alteration.
脆弱性判定装置1は、判定処理部10、開発情報記憶部20及び脆弱性情報記憶部30を備えている。
判定処理部10は、脆弱性情報記憶部30に格納されている脆弱性情報を用いて、開発情報について脆弱性を判定する。
The vulnerability determination device 1 includes a
The
開発情報記憶部20は、開発情報レコード21を含む、1つ又は複数の開発情報レコードが格納されている。開発情報レコード21は、開発情報21a、21b、21cが含まれる。開発情報21a、21b、21cは、それぞれに1つ又は複数の開発情報を含む。開発情報21a、21b、21cに含まれる開発情報は、開発情報レコードの単位によって関連付けられている。
The development
ここで、開発情報とは、プログラムの開発に関連する情報である。開発情報は、例えば、開発するプログラムの開発者に関する開発者情報、開発するプログラムの開発する環境及び稼働する環境を示す開発/導入環境情報、開発ドキュメント、ソースコード及び開発したプログラム等の種類に分けられる。
開発者情報21a、21b、21cは、それぞれに異なる種類の開発情報を含む。開発情報21bは、異なる種類の開発情報21aに基づいて作成された開発情報であり、開発情報21cは、異なる種類の開発情報21bに基づいて作成された開発情報である。
脆弱性情報記憶部30は、脆弱性に関する情報である脆弱性情報31を含む、1つ又は複数の脆弱性情報が格納されている。
Here, the development information is information related to program development. Development information is divided into, for example, developer information on the developer of the program to be developed, development / introduction environment information indicating the development environment and operating environment of the program to be developed, development documents, source code, and the developed program. It is done.
The
The vulnerability
続いて、図1に示す脆弱性判定装置の処理について説明する。
まず、判定処理部10は、脆弱性を判定する所定種類の開発情報50の入力を受ける。ここで、開発情報50は、プログラムの開発情報であり、開発情報レコード21に関連付けられた開発情報である。また、開発情報50は、開発情報21cの種類における開発情報である。
次に、判定処理部10は、開発情報50の種類と関連する種類の開発情報21a、21b、21cの開発情報も脆弱性の判定対象に含める。
そして、判定処理部10は、判定対象とした開発情報21a、21b、21cの開発情報及び開発情報50について、脆弱性情報記憶部30に格納された脆弱性情報に基づいて、脆弱性の判定を行うことにより、プログラムの脆弱性を判定する。
Next, processing of the vulnerability determination device illustrated in FIG. 1 will be described.
First, the
Next, the
Then, the
なお、脆弱性判定装置1に入力された開発情報を含めずに、予め開発情報記憶部20に格納されている開発情報のみを判定対象として、判定処理を実行してもよい。例えば、開発情報50ではなく、開発情報21cの開発情報を示す情報を判定処理部10に入力し、開発情報21cに関連する種類の開発情報21a、21bの開発情報を脆弱性の判定対象に含め、開発情報21a、21b、21cの開発情報について、脆弱性を判定してもよい。
Note that the determination process may be executed with only the development information stored in advance in the development
図2は、本発明の実施の形態1にかかる脆弱性判定装置の詳細を示すブロック図である。
脆弱性判定装置100は、入力制御処理部110、ルール選択処理部120、判定処理部130、開発情報リポジトリ制御処理部140、開発情報リポジトリ141、脆弱性DB制御処理部150、脆弱性DB151、出力処理部160、公開脆弱性情報取得処理部170及び脆弱性DB処理部180を備える。
FIG. 2 is a block diagram showing details of the vulnerability determination device according to the first exemplary embodiment of the present invention.
The
入力制御処理部110は、脆弱性の判定対象となる開発情報や脆弱性判定リクエストの入力を処理する。
ルール選択処理部120は、脆弱性の判定対象となる開発情報の開発段階のそれぞれに応じた脆弱性情報判定ルールを選択する処理を行う。
判定処理部130は、脆弱性情報記憶部151に格納されている脆弱性レコードを用いて、開発情報について脆弱性を判定する。
開発情報リポジトリ制御処理部140は、開発情報リポジトリ141に格納されている開発情報から所望の開発情報を検索して取得する処理、開発情報リポジトリ141に所望の開発情報を登録する処理を行う。
The input
The rule
The
The development information repository
脆弱性DB制御処理部150は、脆弱性DB151に格納されている脆弱性レコードから所望の脆弱性レコードを検索して取得する処理、脆弱性DB151に所望の脆弱性レコードを登録する処理を行う。
出力処理部160は、脆弱性の判定結果を出力する処理を行う。
公開脆弱性情報取得処理部170は、インターネット(登録商標)、イントラネット、電話回線網等の任意のネットワーク200を介して、公開されている脆弱性に関する情報を取得する処理を行う。
脆弱性DB処理部180は、公開脆弱性情報取得処理部170が取得した脆弱性に関する情報から脆弱性DB151に登録するための脆弱性レコード152を作成する処理を行う。公開脆弱性情報取得処理部及び脆弱性DB処理部は、脆弱性情報処理部として機能する。
The vulnerability DB
The
The public vulnerability information
The vulnerability
開発情報リポジトリ141は、プロジェクトレコード142を含む1つ又は複数のプロジェクトレコードが格納される。プロジェクトレコード142は、プロジェクトID142a、開発者情報142b、開発/導入環境情報142c、ドキュメント142d、ソースコード142e、プログラム142f及びキーワード142gが含まれる。
開発者情報142b、開発/導入環境情報142c、ドキュメント142d、ソースコード142e、プログラム142f及びキーワード142gは、それぞれに異なる開発段階の1つ又は複数の開発情報を含む。
The
The
なお、開発者情報142b、開発/導入環境情報142cやキーワード142gのように、プログラムの開発における一般的な生産物でないものは、任意の開発段階における開発情報としてもよい。本実施の形態では、開発者情報142bが最も上流工程の開発段階であり、開発/導入環境情報142c、ドキュメント142d、ソースコード142e、プログラム142f、キーワード142gと、順番に下流工程の開発段階となる。
開発情報リポジトリ141は、開発情報記憶部に相当し、プロジェクトレコード142は、開発情報レコードに相当する。
Note that information that is not a general product in program development, such as
The
プロジェクトID142aは、プロジェクトの識別子を示す情報である。プロジェクトIDは、ソフトウェアもしくはシステムを開発するプロジェクトの単位で付与されている。つまり、プロジェクトレコード142に含まれる開発情報は、プロジェクトID142aによって関連付けられる。なお、プロジェクトIDは、本実施の形態とは異なる任意の単位で付与してもよい。
開発者情報142bは、開発者の氏名、開発担当内容、メールアドレスや電話番号等の連絡先等のプログラムの開発者に関する情報である。ここでは、開発担当内容とは、例えば、システム開発において、開発者がどの機能もしくはモジュールを担当しているかを示す情報である。なお、開発者情報142bの構成要素に、開発者のプロジェクトに関わった年数等のスキルや経験を示す情報を加えてもよく、開発者に関する情報であれば、本実施の形態に例示した内容に限られない。
The
The
開発/導入環境情報142cは、開発言語、使用ライブラリ、関連ソフトウェアや開発ツール等のプログラムを開発する環境や、OS、使用ライブラリや関連システム等の開発したプログラムが稼働する環境を示す情報である。
ドキュメント142dは、要求仕様書、基本設計書及び詳細設計書等の開発に関連するドキュメント情報である。
ソースコード142eは、プログラムのソースコードである。
プログラム142fは、プログラムである。
キーワード142gは、既に脆弱性の判定において使用された検索キーを示す情報である。キーワード142g及び検索キーについては、後に詳述する。
The development /
The
The
The
The
なお、プロジェクトレコード142は、上述した開発情報以外の任意の開発情報が追加された構成としてもよく、上述した開発情報から任意の開発情報を除いた構成としてもよく、本実施の形態に例示した構成に限られない。
また、プロジェクトレコード142には、開発初期から上述した全ての開発段階の開発情報が格納されていなくてもよく、開発段階に従って逐次開発情報を追加してもよい。
さらに、開発情報リポジトリ141に格納されるプロジェクトレコード142及び開発情報は、全て同一ディスク上に格納してもよく、異なるディスク上や異なる装置上に分散して格納して、開発情報をリンクする形態としてもよい。例えば、異なるディスク上に開発情報を分散して格納して、プロジェクトID142aにおいて関連付けて管理してもよく、シンボリックリンクを用いてリンクしてもよい。
The
Further, the development information of all the development stages described above from the beginning of the development may not be stored in the
Further, the
脆弱性DB151は、脆弱性レコード152を含む1つ又は複数の脆弱性レコードが格納される。脆弱性DB151は、脆弱性情報記憶部に相当し、脆弱性レコード152は、脆弱性情報に相当する。
脆弱性レコード152には、脆弱性情報の識別子を示す情報である脆弱性情報IDと、脆弱性を判定するときのキーワードとなる脆弱性の対象名や脆弱性の内容、開発するソフトウェアもしくはシステムへの影響度、関連ベンダ及び脆弱性判定の優先順位の情報が含まれる。
The
The
脆弱性情報IDは、脆弱性情報を識別する情報である。IDの範囲によってクラス分けを行い、それぞれのクラスを開発情報の開発段階と対応させる。
脆弱性の対象名は、開発情報からプログラムの脆弱性の有無を判定するためのキーワードとなる情報である。例えば、DoS(攻撃手法)やJRE(SW名)等である。
脆弱性の内容は、対象名が示す脆弱性よりもさらに具体的な情報である。例えば、あるライブラリ関数に脆弱性がある場合には、その関数を用いたソースコードの記述例である。なお、脆弱性の内容から一部の記述を抜き出して、プログラムの脆弱性の有無を判定するためのキーワードとすることもできる。
影響度は、ソフトウェアもしくはシステムへの影響を示した情報であり、任意の段階を設定してもよい。
The vulnerability information ID is information for identifying vulnerability information. Classification is performed according to the range of ID, and each class is associated with the development stage of development information.
The target name of the vulnerability is information that becomes a keyword for determining the presence or absence of the vulnerability of the program from the development information. For example, DoS (attack method), JRE (SW name), and the like.
The content of the vulnerability is more specific information than the vulnerability indicated by the target name. For example, when there is a vulnerability in a certain library function, this is an example of source code description using that function. A part of the description of the vulnerability can be extracted and used as a keyword for determining whether or not the program is vulnerable.
The degree of influence is information indicating the influence on the software or system, and an arbitrary stage may be set.
関連ベンダは、脆弱性が製品等に関するものである場合は、その製品等のベンダ名である。
脆弱性判定の優先順位は、脆弱性を判定する場合の優先順位を示す情報である。例えば、この優先順位は、優先順位の高い脆弱性レコードから脆弱性の判定を行う場合に参照される。また、優先順位は、特定の優先順位の脆弱性レコードまで脆弱性の判定を実行し、それよりも優先順位が低い脆弱性レコードは脆弱性の判定を実行しない場合にも参照される。さらに、この優先順位に基づいた順番によって、判定結果500で出力される順序を決定してもよい。
なお、脆弱性レコード152は、上述した構成要素以外の任意の構成要素が追加された構成としてもよく、上述した構成要素から任意の構成要素を除いた構成としてもよく、本実施の形態に例示した構成に限られない。
The related vendor is the name of the vendor of the product if the vulnerability is related to the product.
The priority of vulnerability determination is information indicating the priority when determining the vulnerability. For example, this priority order is referred to when vulnerability determination is performed from a vulnerability record having a higher priority order. The priority is also referred to when vulnerability determination is performed up to a vulnerability record having a specific priority, and a vulnerability record having a lower priority than that is not determined. Furthermore, the order in which the
The
続いて、図2に示す脆弱性判定装置の処理について説明する。
図3のフローチャートを用いて、図2に示す脆弱性判定装置における脆弱性に関する情報を取得する処理について説明する。
まず、公開脆弱性情報取得処理部170は、ネットワークを介して、公開されている脆弱性に関する情報を取得する(S710)。
Next, processing of the vulnerability determination device illustrated in FIG. 2 will be described.
With reference to the flowchart of FIG. 3, processing for acquiring information related to vulnerability in the vulnerability determination apparatus illustrated in FIG. 2 will be described.
First, the public vulnerability information
ここで、公開されている脆弱性に関する情報の取得処理は、定期的もしくは自動的に実行してもよく、マニュアル操作により実行してもよい。
また、公開されている脆弱性に関する情報は、インターネット(登録商標)上のサイトから取得してもよく、社内に設置されたPC(Personal Computer)、サーバ等の情報処理装置からネットワークを介して取得してもよい。さらに、脆弱性に関する情報は、脆弱性に関する情報が記述された電子メールを受信することにより取得してもよく、脆弱性に関する情報が記述された電子メールをPC(Personal Computer)、メールサーバ等の情報処理装置から取得するようにしてもよい。その他に、公開脆弱性情報取得処理部170に出版物から情報を取り込む機能を設け、出版物から脆弱性に関する情報を取得してもよく、キーボードもしくはマウス等の入力装置から入力された脆弱性に関する情報を取得してもよい。
Here, the process of acquiring information related to the disclosed vulnerability may be executed periodically or automatically, or may be executed manually.
Information on vulnerabilities that are publicly available may be obtained from a site on the Internet (registered trademark) or obtained from an information processing device such as a PC (Personal Computer) or server installed in the company via the network. May be. Further, the information on the vulnerability may be obtained by receiving an e-mail in which information on the vulnerability is described, and the e-mail in which the information on the vulnerability is described can be obtained from a PC (Personal Computer), a mail server, or the like. You may make it acquire from an information processing apparatus. In addition, the public vulnerability information
次に、脆弱性DB処理部180は、取得した脆弱性に関する情報から、脆弱性レコード152を作成し、脆弱性DB制御処理部150に出力する。脆弱性DB制御処理部150は、入力された脆弱性レコード152を脆弱性DB151に格納する(S720)。
Next, the vulnerability
続いて、図4のフローチャートを用いて、図2に示す脆弱性判定装置による脆弱性を判定する処理について説明する。
まず、開発情報リポジトリ141に所定の開発情報を登録する場合、入力制御処理部110は、登録する開発情報300の入力を受ける。ここで、開発情報300は、プロジェクトレコード142に登録する開発情報である。
一方、開発情報リポジトリ141に開発情報を登録せず脆弱性の判定を行う場合、入力制御処理部110は、脆弱性判定リクエスト400の入力を受ける。脆弱性判定リクエスト400には、脆弱性の判定を行おうとするプロジェクトのプロジェクトIDが含まれている。
Next, processing for determining vulnerability by the vulnerability determination device shown in FIG. 2 will be described using the flowchart of FIG.
First, when registering predetermined development information in the
On the other hand, when determining the vulnerability without registering the development information in the
入力制御処理部110は、入力された情報に基づいて脆弱性の判定対象を示す情報である判定対象リストを作成する(S810)。
ここで、ステップS810における処理の詳細な処理について、図5のフローチャートを用いて説明する。
まず、入力制御処理部110は、入力された開発情報300、もしくは脆弱性判定リクエスト400を取得する(S821)。
The input
Here, the detailed processing of step S810 will be described with reference to the flowchart of FIG.
First, the input
次に、開発情報リポジトリに登録する開発情報300が入力された場合には、入力した開発情報の開発段階を含めた上流工程の開発段階の開発情報を判定対象として決定する(S822、S823)。例えば、開発情報300として、ソースコードを登録する場合には、開発者情報142b、開発/導入環境情報142c、ドキュメント142d及びソースコード142eの開発情報を判定対象とする。
なお、登録する開発情報の開発段階における開発情報のみを判定対象として決定してもよく、登録する開発情報より1つだけ上流工程の開発段階までの開発情報を判定対象とする形態としてもよく、判定対象を決定する処理は、本実施の形態に例示した処理に限られない。
Next, when the
Only the development information at the development stage of the development information to be registered may be determined as a determination target, or only one development information up to the development stage of the upstream process from the development information to be registered may be determined as a determination target. The process for determining the determination target is not limited to the process exemplified in this embodiment.
一方、脆弱性判定リクエスト400が入力された場合、入力制御処理部110は、脆弱性判定リクエスト400に含まれるプロジェクトIDに関連付けられた全ての開発段階の開発情報を判定対象として決定する(S822、S824)。つまり、指定したプロジェクトID142aが格納されたプロジェクトレコード142の全ての開発情報が判定対象となる。
なお、脆弱性判定リクエスト400は、所定の開発情報を指定できるようにして、所定の開発情報の開発段階を含めた上流工程の開発段階の開発情報を判定対象として決定してもよく、所定の開発情報を指定できるようにし、所定の開発情報の開発段階における開発情報のみを判定対象としてもよく、判定対象の決定処理は、本実施の形態に例示した処理に限られない。
On the other hand, when the
In addition, the
次に、入力制御処理部110は、判定対象を決定したら、その決定した判定対象に基づいて判定対象リストを作成する(S825)。
図6に判定対象リストの例を示す。図6は、開発情報300として、ソースコード(function.c)が入力された場合に、作成される判定対象リストを例示している。
判定対象リストには、判定対象となるプロジェクトID、入力された開発情報の開発段階、それぞれの開発段階における開発情報を判定対象とするか否かの情報が含まれる。判定対象とする場合には「Y」が、判定対象外とする場合には「N」で示されている。
図6に示すように、ソースコードを含めた上流工程の開発段階の開発情報が判定対象として決定される。
Next, after determining the determination target, the input
FIG. 6 shows an example of the determination target list. FIG. 6 illustrates a determination target list created when source code (function.c) is input as the
The determination target list includes a project ID to be determined, a development stage of input development information, and information on whether or not development information in each development stage is to be determined. “Y” is indicated as a determination target, and “N” is indicated as a non-determination target.
As shown in FIG. 6, the development information at the development stage of the upstream process including the source code is determined as a determination target.
なお、プロジェクトID及び開発段階は、ソースコード(function.c)を入力制御処理部110に入力するときに、同時に入力するようにしてもよく、入力されたソースコード(function.c)に基づいて入力制御処理部110が導き出すようにしてもよい。例えば、プロジェクトID及び開発段階は、開発情報リポジトリ141を参照することによって、入力されたソースコードに基づいて導き出してもよく、開発情報のそれぞれに対応するプロジェクトID及び開発段階を示す情報を予め任意の記憶装置もしくは入力制御処理部110内に用意しておき、その情報に基づいて導き出してもよい。
The project ID and the development stage may be input at the same time when the source code (function.c) is input to the input
次に、ルール選択処理部120は、入力制御処理部110において作成された判定対象リストと、開発段階のそれぞれにおける脆弱性の判定方法を定義した脆弱性情報判定ルールに基づいて、脆弱性情報判定ルールに示される情報を判定対象に限定した脆弱性情報判定ルールリストを作成する(S825)。
ここで、判定対象リストは、入力制御処理部110からルール選択処理部120に出力するようにしてもよく、脆弱性判定装置100に設けられた任意の記憶装置に入力制御処理部110が格納し、ルール選択処理部120が参照するようにしてもよい。
また、脆弱性情報判定ルールは、ルール選択処理部120に格納してもよく、脆弱性判定装置100に設けられた任意の記憶装置に格納し、ルール選択処理部120が参照してもよい。
Next, the rule
Here, the determination target list may be output from the input
Further, the vulnerability information determination rule may be stored in the rule
ここで、図7に示す脆弱性情報判定ルールについて説明する。
脆弱性情報判定ルールは、判定対象、対応脆弱性情報、検索キー、検索方法によって特定される。
判定対象には、判定対象となりうる開発段階がそれぞれ示されている。
対応脆弱性情報には、脆弱性DB151に格納された脆弱性レコードのうちから脆弱性の判定に使用する脆弱性レコードが、開発段階のそれぞれに対応して関連付けられている。なお、図7におけるIDとは、脆弱性情報IDを示す。
検索キーは、開発情報の脆弱性を判定するときに用いられるキーワードである。つまり、脆弱性の判定は、この検索キーで開発情報を検索することで行う。
検索方法は、検索キーに示されるキーワードによって、開発情報を検索するときの検索方法を示す。
Here, the vulnerability information determination rule shown in FIG. 7 will be described.
The vulnerability information determination rule is specified by a determination target, corresponding vulnerability information, a search key, and a search method.
The determination target indicates a development stage that can be a determination target.
In the corresponding vulnerability information, vulnerability records used for determining the vulnerability among the vulnerability records stored in the
The search key is a keyword used when determining the vulnerability of development information. In other words, vulnerability is determined by searching development information with this search key.
The search method indicates a search method used when searching for development information using a keyword indicated by a search key.
脆弱性情報判定ルールの開発者情報に関する項目は、ID10000からID19999までの脆弱性レコードに含まれる対象名をキーワードとして、開発者情報を検索して脆弱性を判定することを示している。例えば、経験の浅い開発者が行ってしまいやすいコーディングミスに関する脆弱性レコードがあり、脆弱性の対象名が「1年」の経験年数である場合は、キーワード「1年」に一致する文字列を開発者情報142aから検索する。
The item regarding the developer information in the vulnerability information determination rule indicates that the vulnerability is determined by searching the developer information with the target name included in the vulnerability records from ID10000 to ID19999 as keywords. For example, if there is a vulnerability record regarding coding mistakes that an inexperienced developer is likely to make, and the target name of the vulnerability is the years of experience of “1 year”, a character string that matches the keyword “1 year” Search from
脆弱性情報判定ルールの開発/稼働環境情報に関する項目は、ID20000からID29999までの脆弱性レコードに含まれる対象名をキーワードとして、開発/稼働環境情報を検索すること示している。例えば、Linux(登録商標)に関する脆弱性レコードがあり、脆弱性の対象名が「Linux」(登録商標)である場合は、キーワード「Linux」(登録商標)に一致する文字列を開発/稼働環境情報142bから検索する。
ドキュメントについても、開発者情報、開発/稼働環境と同様に、対象名によってキーワード検索が行われる。
The item relating to the development / operating environment information of the vulnerability information determination rule indicates that the development / operating environment information is searched using the target name included in the vulnerability records from ID 20000 to ID 29999 as keywords. For example, if there is a vulnerability record related to Linux (registered trademark) and the target name of the vulnerability is “Linux” (registered trademark), a character string that matches the keyword “Linux” (registered trademark) is developed / operating environment. Search from
Similar to developer information and development / operation environment, keywords are searched for documents by target name.
脆弱性情報判定ルールのソースコードに関する項目は、ID40000からID49999までの脆弱性レコードに含まれる内容から抜き出したパターンをキーワードとして、ソースコードから一致するパターンを検索することを示している。例えば、脆弱性の内容としてソースコードの記述例がある場合に、ソースコード142eから、ソースコードの記述例において変数等の一部の記述がどのようになっていてもよい場合に、前後の記述のパターンの一致によって検索することができる。
The item related to the source code of the vulnerability information determination rule indicates that a matching pattern is searched from the source code using a pattern extracted from the contents included in the vulnerability records ID40000 to ID49999 as keywords. For example, when there is a description example of the source code as the content of the vulnerability, the description before and after the
脆弱性情報判定ルールのプログラムに関する項目は、検索キーが示されていないが、これは既存のウィルス検索ソフトウェアによって検索されることを示している。この項目のAV(Anti Virus)シグネチャとは、ウィルスシグネチャのことである。プログラム142eから、ウィルスシグネチャと一致するパターンのコードを含むプログラムを検索することを示している。
The item relating to the vulnerability information determination rule program does not indicate a search key, but this indicates that the search is performed by existing virus detection software. The AV (Anti Virus) signature of this item is a virus signature. This indicates that the
脆弱性情報判定ルールのキーワードに関する項目は、検索キーが対象名となっているが、ここでの対象名は、キーワード142gに含まれる既に検索を行った対象名のことである。ここで、キーワード142gには、脆弱性の判定において使用された検索キーが蓄積されている。
脆弱性判定リクエスト400によって、キーワード142gが判定対象とされた場合は、他の開発段階とは異なる検索が行われる。具体的には、キーワード142gに含まれる既に検索を行った対象名をキーワードとして、全ての脆弱性DB151に格納された脆弱性レコードを検索する。
The item related to the keyword of the vulnerability information determination rule has a search key as a target name. The target name here is a target name that has already been searched for included in the
When the
これにより、一度検索した対象名を含む脆弱性レコードが更新された場合であっても、最新の脆弱性レコードによる判定結果を得ることができる。また、キーワード142gに、既に検索を行った検索キーと、その検索キーを有する開発情報を示す情報を関連付けて含めておくことで、判定結果に対象となる開発情報を含めることができる。
なお、脆弱性情報判定ルールにおける、それぞれの判定対象物に対して示されている対応脆弱性情報、検索キー及び検索方法は、本実施の形態と異なるものを自由に指定することができ、図7において例示されたものに限られない。
Thereby, even if the vulnerability record containing the target name searched once is updated, the determination result by the latest vulnerability record can be obtained. Further, by including the search key that has already been searched for and the information indicating the development information having the search key in association with the
In the vulnerability information determination rule, the corresponding vulnerability information, search key, and search method shown for each determination target can be freely specified as different from the present embodiment. 7 is not limited to that illustrated in FIG.
図6に示す判定対象リストと、図7に示す脆弱性情報判定ルールに基づいて作成される脆弱性情報判定ルールリストを図8に示す。
図8に示す脆弱性情報判定ルールリストについては、図7に示す脆弱性情報判定ルールに示される情報を、図6に示す判定対象リストにおいて判定対象とされた判定対象に限定したものであり、格納されている情報は図7に示す脆弱性情報判定ルールと同様であるとため、説明を省略する。
FIG. 8 shows a determination target list shown in FIG. 6 and a vulnerability information determination rule list created based on the vulnerability information determination rule shown in FIG.
About the vulnerability information determination rule list shown in FIG. 8, the information shown in the vulnerability information determination rule shown in FIG. 7 is limited to the determination target that is determined in the determination target list shown in FIG. The stored information is the same as the vulnerability information determination rule shown in FIG.
次に、判定処理部130は、脆弱性情報判定ルールリストに基づいて、判定対象の開発情報について、脆弱性を判定する(S830)。
ここで、ステップS830における処理の詳細な動作について、図9のフローチャートを用いて説明する。ここでは、図8に示す脆弱性情報判定ルールリストに基づいて、ステップS830の処理を行う場合について例示する。
まず、判定処理部130は、作成された脆弱性情報判定ルールリストを取得する(S831)。ここで、脆弱性情報判定ルールリストは、ルール選択処理部120から判定処理部130に出力してもよく、脆弱性判定装置100に設けられた任意の記憶装置にルール選択処理部120が格納し、判定処理部130が参照するようにしてもよい。
Next, the
Here, the detailed operation of the processing in step S830 will be described using the flowchart of FIG. Here, the case where the process of step S830 is performed based on the vulnerability information determination rule list shown in FIG. 8 is illustrated.
First, the
次に、判定処理部130は、脆弱性DB151から脆弱性DB制御処理部150を介して、脆弱性情報判定ルールリストが示す開発者情報142bに対応する脆弱性レコード(ID10000〜ID19999)を取得し、開発情報リポジトリ141から開発情報リポジトリ制御処理部140を介して、開発者情報142bの開発情報を取得する。そして、取得した脆弱性レコードの検索キーによって、開発者情報を検索する(S832)。
そして、ステップS832による検索結果を出力処理部160に出力する(S833)。
Next, the
And the search result by step S832 is output to the output process part 160 (S833).
次に、開発情報リポジトリの判定対象の全ての検索が終了していない場合は、再び検索が行われる(S834)。
図8に示す脆弱性情報判定ルールリストは、ソースコードまでの開発段階の開発情報を判定対象としているため、再び開発/稼働環境情報142cについて、検索が行われ、検索結果が出力処理部160に出力される(S832、S833)。その後も、図8に示す脆弱性情報判定ルールリストが示す判定対象の開発段階の開発情報であるドキュメント142d及びソースコード142eについて検索が行われる(S832、S833、S834)。
Next, if all the search targets of the development information repository are not completed, the search is performed again (S834).
Since the vulnerability information determination rule list shown in FIG. 8 uses development information at the development stage up to the source code as a determination target, the search is performed again on the development /
そして、ソースコード142eまで検索が終了すると、図8に示す脆弱性情報判定ルールリストに示す全ての判定対象の開発段階の開発情報についての検索が終了するため、脆弱性の判定を終了する(S834)。
ここで、本実施の形態では、上流工程の開発段階から順番に検索をしているが、検索の順序は本実施の形態に例示したものに限られない。例えば、下流工程の開発段階から検索してもよく、一度に判定対象の開発情報及び脆弱性レコードを全て取得して検索を行うようにしてもよい。
When the search is completed up to the
Here, in the present embodiment, the search is performed in order from the development stage of the upstream process, but the search order is not limited to that exemplified in the present embodiment. For example, the search may be performed from the development stage of the downstream process, or the search may be performed by acquiring all the development information and vulnerability records to be determined at a time.
なお、開発情報300は、入力制御処理部110から開発情報リポジトリ制御処理部140に出力し、開発情報リポジトリ制御処理部140によって開発情報リポジトリ141に登録した後に、ステップS830による脆弱性の判定を行うことで、判定対象に含めることができる。また、開発情報300は、判定処理部130にて脆弱性の判定を行った後に、開発情報リポジトリ141に登録するようにしてもよい。
The
次に、出力処理部160は、判定処理部130から出力された判定結果を出力する(S840)。
判定結果の出力である判定結果500の内容は、プロジェクトID、開発情報名、検索キーや脆弱性の内容等の開発情報名、開発情報や脆弱性レコードに含まれる情報等を自由に組み合わせた情報を出力することができる。
また、ここでの出力は、表示装置に表示してもよく、ファイルに出力してもよく、出力処理部160に、情報共有のためのWebコンテンツ作成用データを含めておき、Webコンテンツの形式で出力してもよい。さらに、出力処理部160に、関係者の連絡先を含めておき、メールを送信する形式で出力してもよい。
Next, the
The content of the
The output here may be displayed on a display device or may be output to a file. The
以上のように、本発明の実施の形態1にかかる脆弱性判定装置によれば、所定種類の開発情報について脆弱性を判定する場合に、この開発情報の種類に関連付けられた種類の開発情報も脆弱性の判定対象に含めることができるため、特定の開発情報のみによって、プログラムの脆弱性を判定してしまうという問題を解決することができる。
これによりプログラムに関係する開発情報について、効率的に脆弱性を判定することができ、脆弱性の判定を迅速に行うことができる。
また、プログラムの開発の初期段階においても、タイムリーに脆弱性を判定することができ、セキュアな開発をすることができる。
As described above, according to the vulnerability determination device according to the first exemplary embodiment of the present invention, when determining vulnerability for a predetermined type of development information, the type of development information associated with this type of development information is also included. Since it can be included in the determination target of the vulnerability, the problem of determining the vulnerability of the program only by specific development information can be solved.
Thereby, it is possible to efficiently determine the vulnerability of the development information related to the program, and to quickly determine the vulnerability.
Further, even in the initial stage of program development, vulnerability can be determined in a timely manner, and secure development can be performed.
発明の実施の形態2.
図10は、本発明の実施の形態2にかかる脆弱性判定装置の詳細を示すブロック図である。
なお、本発明の実施の形態2にかかる脆弱性判定装置100の全体構成は、図1に示す実施の形態1にかかる脆弱性判定装置と比較して、脆弱性対策DB処理部190及び脆弱性対策DB191をさらに備える点が異なる。
脆弱性DB処理部190は、脆弱性対策DB191から、脆弱性に対する対策案を示す情報を取得する処理を行う。脆弱性DB処理部は、脆弱性対策情報処理部として機能する。
脆弱性対策DB191は、脆弱性に対する対策案を示す情報が格納されている。脆弱性対策DBは、脆弱性対策情報記憶部に相当する。
脆弱性DB処理部190、脆弱性対策DB191以外の構成要素については、実施の形態1と同様であるため、説明を省略する。
Embodiment 2 of the Invention
FIG. 10 is a block diagram showing details of the vulnerability determination device according to the second exemplary embodiment of the present invention.
The overall configuration of the
The vulnerability
The
Since the components other than the vulnerability
図11のフローチャートを用いて、本発明の実施の形態2にかかる脆弱性判定装置における脆弱性に関する情報を取得する処理について説明する。
ここで、図11に示すステップS810、S820、S830における処理については、実施の形態1と同様であるため、説明を省略する。
With reference to the flowchart of FIG. 11, processing for acquiring information related to vulnerability in the vulnerability determination device according to the second exemplary embodiment of the present invention will be described.
Here, the processes in steps S810, S820, and S830 shown in FIG. 11 are the same as those in the first embodiment, and thus the description thereof is omitted.
本実施の形態では、判定処理部130が脆弱性の判定を行い、判定処理部130が出力した判定結果を出力処理部160が取得したときに、脆弱性対策DB処理部190は、判定結果において示された脆弱性に対する対策案を示す情報を、脆弱性DB191から検索して取得し、対策案を示す情報を出力処理部160に出力する。
そして、出力処理部160は、脆弱性対策DB処理部190が出力した対策案を示す情報を取得し、対策案を示す情報を付加して判定結果500を出力する(S850)。
以上のように、本発明の実施の形態2にかかる脆弱性判定装置によれば、脆弱性の判定結果と併せて、脆弱性に対する対策案も提示することができる。
In the present embodiment, when the
The
As described above, according to the vulnerability determination device according to the second exemplary embodiment of the present invention, it is possible to present a countermeasure against vulnerability in addition to the vulnerability determination result.
以上に説明した本発明にかかる脆弱性判定装置は、上述の実施の形態の機能を実現するプログラムを記憶した記憶媒体をシステムもしくは装置に供給し、システムあるいは装置の有するコンピュータ又はCPU(Central Processing Unit)、MPU(Micro Processing Unit)がこのプログラムを実行することによって、構成することが可能である。
また、このプログラムは様々な種類の記憶媒体に格納することが可能であり、また、通信媒体を介して伝達されることが可能である。ここで、記憶媒体には、例えば、フレキシブルディスク、ハードディスク、磁気ディスク、光磁気ディスク、CD−ROM(Compact Disk Read Only Memory)、DVD(Digital Versatile Disk)、BD(Blu-ray Disc)、ROM(Read Only Memory)カートリッジ、バッテリバックアップ付きRAM(Random Access Memory)メモリカートリッジ、フラッシュメモリカートリッジ、不揮発性RAMカートリッジを含む。また、通信媒体には、電話回線の有線通信媒体、マイクロ波回線の無線通信媒体を含み、インターネット(登録商標)も含まれる。
The vulnerability determination apparatus according to the present invention described above supplies a storage medium storing a program for realizing the functions of the above-described embodiments to a system or apparatus, and a computer or CPU (Central Processing Unit) included in the system or apparatus. ) And MPU (Micro Processing Unit) can be configured by executing this program.
Further, this program can be stored in various types of storage media, and can be transmitted via a communication medium. Here, the storage medium includes, for example, a flexible disk, hard disk, magnetic disk, magneto-optical disk, CD-ROM (Compact Disk Read Only Memory), DVD (Digital Versatile Disk), BD (Blu-ray Disc), ROM ( A read only memory (RAM) cartridge, a battery-backed RAM (Random Access Memory) memory cartridge, a flash memory cartridge, and a nonvolatile RAM cartridge are included. The communication medium includes a telephone line wired communication medium and a microwave line wireless communication medium, and also includes the Internet (registered trademark).
また、コンピュータが上述の実施の形態の機能を実現するプログラムを実行することにより、上述の実施の形態の機能が実現されるだけではなく、このプログラムの指示に基づき、コンピュータ上で稼動しているOS(Operating System)もしくはアプリケーションソフトと共同して上述の実施の形態の機能が実現される場合も、発明の実施の形態に含まれる。
さらに、このプログラムの処理の全てもしくは一部がコンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットにより行われて上述の実施の形態の機能が実現される場合も、発明の実施の形態に含まれる。
Further, when the computer executes the program that realizes the functions of the above-described embodiment, not only the functions of the above-described embodiment are realized, but also the computer is operating on the basis of the instructions of this program. A case where the functions of the above-described embodiment are realized in cooperation with an OS (Operating System) or application software is also included in the embodiment of the invention.
Further, when the functions of the above-described embodiment are realized by performing all or part of the processing of the program by a function expansion board inserted into the computer or a function expansion unit connected to the computer, the present invention may be implemented. It is included in the form.
1、100 脆弱性判定装置
10 判定処理部
20 開発情報記憶部
21 開発情報レコード
30 脆弱性情報記憶部
31 脆弱性情報
50 開発情報
110 入力制御処理部
120 ルール選択処理部
130 判定処理部
140 開発情報リポジトリ制御処理部
141 開発情報リポジトリ
142 プロジェクトレコード
150 脆弱性DB制御処理部
151 脆弱性DB
152 脆弱性レコード
160 出力処理部
170 公開脆弱性情報取得処理部
180 脆弱性DB処理部
190 脆弱性対策DB処理部
191 脆弱性対策DB
200 ネットワーク
300 開発情報
400 脆弱性判定リクエスト
500 判定結果
1, 100
152
Claims (14)
脆弱性情報を格納する脆弱性情報記憶部と、
所定種類の開発情報について脆弱性を判定する場合に、当該判定対象となる開発情報の種類に関連付けられた種類の開発情報も判定対象に含めて、当該判定対象の開発情報及び前記脆弱性情報記憶部に格納された脆弱性情報に基づいて、プログラムの脆弱性を判定する判定処理部を備えた脆弱性判定装置。 Development information storage unit for storing development information classified according to type in association with each other,
A vulnerability information storage unit for storing vulnerability information;
When determining vulnerability for development information of a predetermined type, the development information of the type associated with the type of development information to be determined is also included in the determination target, and the development information of the determination target and the vulnerability information storage A vulnerability determination device including a determination processing unit that determines the vulnerability of a program based on vulnerability information stored in the unit.
前記判定処理部は、前記判定対象の開発情報について、種類のそれぞれに応じた脆弱性情報に基づいて、プログラムの脆弱性を判定する請求項1乃至4のいずれかに記載の脆弱性判定装置。 In the vulnerability information storage unit, the vulnerability information is classified according to each type,
The vulnerability determination apparatus according to any one of claims 1 to 4, wherein the determination processing unit determines the vulnerability of the program based on vulnerability information corresponding to each type of the development information to be determined.
前記対策案情報を前記脆弱性対策情報記憶部から取得し、当該対策案情報を前記出力処理部に出力する脆弱性対策情報処理部をさらに備え、
前記出力処理部は、前記判定結果に当該対策案情報を付加して出力する請求項7に記載の脆弱性判定装置。 The vulnerability determination device includes a vulnerability countermeasure information storage unit that stores countermeasure plan information that is information indicating a countermeasure plan for the vulnerability;
A vulnerability countermeasure information processing unit that acquires the countermeasure plan information from the vulnerability countermeasure information storage unit and outputs the countermeasure plan information to the output processing unit;
The vulnerability determination apparatus according to claim 7, wherein the output processing unit adds the countermeasure plan information to the determination result and outputs the result.
前記入力制御処理部は、プロジェクトIDが入力された場合には、当該プロジェクトIDに関連する開発情報を判定対象として、プログラムの脆弱性を判定する請求項1乃至9のいずれかに記載の脆弱性判定装置。 The development information storage unit stores development information classified according to the type in association with a project ID,
The vulnerability according to any one of claims 1 to 9, wherein, when a project ID is input, the input control processing unit determines the vulnerability of the program by using development information related to the project ID as a determination target. Judgment device.
当該判定対象の開発情報及び脆弱性情報に基づいて、プログラムの脆弱性を判定するステップを備える脆弱性判定方法。 When determining vulnerability for a predetermined type of development information, the step of including the type of development information associated with the type of development information to be determined in the determination target;
A vulnerability determination method comprising a step of determining the vulnerability of a program based on development information and vulnerability information of the determination target.
当該判定対象の開発情報及び脆弱性情報に基づいて、プログラムの脆弱性を判定するステップをコンピュータに実行させる脆弱性判定プログラム。 When determining vulnerability for a predetermined type of development information, the step of including the type of development information associated with the type of development information to be determined in the determination target;
A vulnerability determination program that causes a computer to execute a step of determining vulnerability of a program based on development information and vulnerability information of the determination target.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008290689A JP2010117887A (en) | 2008-11-13 | 2008-11-13 | Vulnerability determining device, vulnerability determination method, and vulnerability determination program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008290689A JP2010117887A (en) | 2008-11-13 | 2008-11-13 | Vulnerability determining device, vulnerability determination method, and vulnerability determination program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010117887A true JP2010117887A (en) | 2010-05-27 |
Family
ID=42305526
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008290689A Pending JP2010117887A (en) | 2008-11-13 | 2008-11-13 | Vulnerability determining device, vulnerability determination method, and vulnerability determination program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010117887A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014504388A (en) * | 2010-11-18 | 2014-02-20 | 北京神州▲緑▼盟信息安全科技股▲分▼有限公司 | Security configuration verification device, security configuration verification method, and network system using the device |
JP6998002B1 (en) * | 2021-09-30 | 2022-02-14 | 株式会社グローバル・ネット・アドベンチャーズ | Vulnerability diagnostic device |
-
2008
- 2008-11-13 JP JP2008290689A patent/JP2010117887A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014504388A (en) * | 2010-11-18 | 2014-02-20 | 北京神州▲緑▼盟信息安全科技股▲分▼有限公司 | Security configuration verification device, security configuration verification method, and network system using the device |
US8978134B2 (en) | 2010-11-18 | 2015-03-10 | NSFOCUS Information Technology Co., Ltd. | Security configuration verification device and method and network system employing the same |
JP6998002B1 (en) * | 2021-09-30 | 2022-02-14 | 株式会社グローバル・ネット・アドベンチャーズ | Vulnerability diagnostic device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11153073B2 (en) | Content validation using blockchain | |
JP7092868B2 (en) | Digital Asset Traceability and Guarantee with Distributed Ledger | |
JP7073343B2 (en) | Security vulnerabilities and intrusion detection and repair in obfuscated website content | |
US10650476B2 (en) | Electronic discovery process using a blockchain | |
JP2021500658A (en) | Computer implementation methods, systems, and computer program products that perform interactive workflows, as well as computer programs. | |
CN104850775B (en) | A kind of identification method and device of applications security | |
Kim et al. | Automated dataset generation system for collaborative research of cyber threat analysis | |
de Franco Rosa et al. | A survey of security assessment ontologies | |
JP2011233081A (en) | Application determination system and program | |
Fu et al. | Data correlation‐based analysis methods for automatic memory forensic | |
CN105701405B (en) | The system and method that anti-virus inspection is carried out to the machine image of software program collection | |
WO2017175246A1 (en) | Method and system for providing end-to-end integrations using integrator extensible markup language | |
JP2010117887A (en) | Vulnerability determining device, vulnerability determination method, and vulnerability determination program | |
JP5482793B2 (en) | Digital content management system, digital watermark embedding device, digital watermark detection device, program, and digital content management method | |
Didriksen | Forensic analysis of OOXML documents | |
Michalas et al. | MemTri: A memory forensics triage tool using bayesian network and volatility | |
US11868412B1 (en) | Data enrichment systems and methods for abbreviated domain name classification | |
Awang et al. | Automated security testing framework for detecting SQL injection vulnerability in web application | |
US11354081B2 (en) | Information processing apparatus with concealed information | |
JP2023100542A (en) | Scenario construction system, scenario construction apparatus, and scenario construction method | |
Simou et al. | Towards a model-based framework for forensic-enabled cloud information systems | |
JP5340563B2 (en) | Method and apparatus for organizing files based on download location | |
FR3029659A1 (en) | METHODS AND SYSTEMS FOR VALIDATION OF PERFORMANCE TEST SCENARIOS | |
JP6342717B2 (en) | Privacy policy generation device, privacy policy generation method, and program | |
US20240037243A1 (en) | Artificial intelligence based security requirements identification and testing |