Stack Overflowは12月2日(米国時間)、「Preventing the Top Security Weaknesses Found in Stack Overflow Code Snippets - Stack Overflow Blog」において、Stack Overflowに掲載されているコードの断片(スニペット)に含まれている脆弱性について、上位8つに分類して実態を伝えた。

Stack Overflowは以前、同社のQ&Aサイトに掲載されているソースコードはセキュリティ上、好ましくないものが少なくないという研究結果を伝えている。今回、前回の発表をベースとしつつ、上位8つの脆弱性がまとめられている。

掲載されているセキュリティ脆弱性は次のとおり。

  • CWE-754 異常条件または例外条件の不適切なチェック
  • CWE-20 不適切な入力値検証
  • CWE-252 返り値チェックの未実施
  • CWE-477 非推奨または廃止された機能の使用
  • CWE-789 制御されていないメモリ割り当て
  • CWE-158 ヌルバイトまたはヌル文字の不適切な処理
  • CWE-134 外部制御文字の使用
  • CWE-476 ヌルポインタ参照
  • CWE-754: Improper Check for Unusual or Exceptional Conditions (3.4.1)

    CWE-754: Improper Check for Unusual or Exceptional Conditions (3.4.1)

Stack Overflowに掲載されているスニペットは開発者が実際に使っているコードである可能性が高く、プログラミング時に陥りがちな誤ったソースコードの例として説得力がある。掲載されているエラータイプをチェックして自らのコーディングに反映していくことで、脆弱性が少ないソースコードの作成につながっていくと見られる。