GitLab Advanced SAST CWEカバレッジ

プラン: Ultimate
提供形態: GitLab.com、GitLab Self-Managed、GitLab Dedicated

GitLab Advanced SASTは、サポートされている言語で記述されたコード内の潜在的なセキュリティ脆弱性を多数検出します。

GitLabは、一致するCommon Weakness Enumeration（CWE）識別子を、潜在的な脆弱性ごとに割り当てます。CWE識別子は、セキュリティ上の弱点を特定するための業界標準の方法ですが、以下の点を知っておくことが重要です:

CWEはツリー構造で配置されています。例: CWE-22: パストラバーサルは、CWE-23の親です: 相対パストラバーサル。スキャナーは、定義により、相対パストラバーサルの弱点（CWE-23）を特に検出する場合、より一般的なパストラバーサルカテゴリ（CWE-22）の一部も検出します。
明確にするため、この表では、GitLab Advanced SASTルールに割り当てられている正確なCWE識別子を示します。親識別子はレポートしません。

GitLab Advanced SASTで使用されているルールの詳細については、SASTルールを参照してください。

言語別のCWEカバレッジ

GitLab Advanced SASTは、各プログラミング言語で次の種類の弱点を検出します:

CWE	CWEの説明	C	C++	C#	Go	Java	JavaScript、TypeScript	PHP	Python	Ruby
CWE-15	システムまたは構成設定の外部制御	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応
CWE-22	制限されたディレクトリへのパス名の不適切な制限（「パストラバーサル」）	非対応	非対応	対応	対応	対応	対応	対応	対応	対応
CWE-23	相対パストラバーサル	非対応	非対応	非対応	非対応	非対応	対応	非対応	対応	非対応
CWE-73	ファイル名またはパスの外部制御	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	対応
CWE-76	同等の特殊要素の不適切な無効化	非対応	非対応	非対応	非対応	非対応	非対応	非対応	非対応	対応
CWE-77	コマンドで使用される特殊要素の不適切な無効化（「コマンドインジェクション」）	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応
CWE-78	OSコマンドで使用される特殊要素の不適切な無効化（「OSコマンドインジェクション」）	対応	非対応	対応	対応	対応	対応	対応	対応	対応
CWE-79	Webページ生成中の入力の不適切な無効化（「クロスサイトスクリプティング」）	非対応	非対応	対応	対応	対応	対応	対応	対応	対応
CWE-80	Webページ内のスクリプト関連HTMLタグの不適切な無効化（基本クロスサイトスクリプティング）	非対応	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応
CWE-88	コマンド内の引数デリミターの不適切な無効化（「引数インジェクション」）	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応
CWE-89	SQLコマンドで使用される特殊要素の不適切な無効化（「SQLインジェクション」）	非対応	非対応	対応	対応	対応	対応	対応	対応	対応
CWE-90	LDAPクエリで使用される特殊要素の不適切な無効化（「LDAPインジェクション」）	非対応	非対応	対応	非対応	対応	非対応	非対応	対応	非対応
CWE-91	XMLインジェクション（別名Blind XPath Injection）	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応
CWE-94	コード生成の不適切な制御（「コードインジェクション」）	非対応	非対応	非対応	対応	対応	対応	対応	対応	対応
CWE-95	動的に評価されるコード内のディレクティブの不適切な無効化（「Eval Injection」）	非対応	非対応	非対応	非対応	対応	対応	非対応	対応	対応
CWE-113	HTTPヘッダー内のCRLFシーケンスの不適切な無効化（「HTTPリクエスト/レスポンスの分割」）	非対応	非対応	非対応	非対応	対応	対応	非対応	対応	非対応
CWE-116	出力の不適切なエンコードまたはエスケープ	非対応	非対応	非対応	非対応	非対応	対応	非対応	対応	非対応
CWE-117	ログの不適切な出力の無効化	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応
CWE-118	インデックス可能なリソースの不正なアクセス（「範囲エラー」）	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応	非対応
CWE-125	範囲外読み取り	対応	対応	非対応	非対応	非対応	対応	非対応	非対応	非対応
CWE-131	バッファサイズの不正な計算	対応	対応	非対応	非対応	非対応	非対応	非対応	非対応	非対応
CWE-155	ワイルドカードまたは一致するシンボルの不適切な無効化	非対応	非対応	非対応	非対応	非対応	非対応	非対応	対応	非対応
CWE-180	不正な動作順序: 正準化の前に検証する	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応
CWE-182	データの安全でない値への折りたたみ	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応
CWE-185	不正な正規表現	非対応	非対応	非対応	非対応	非対応	対応	非対応	非対応	対応
CWE-190	整数のオーバーフローまたはラップアラウンド	対応	対応	非対応	対応	対応	非対応	非対応	非対応	非対応
CWE-191	整数のアンダーフロー（ラップまたはラップアラウンド）	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応
CWE-208	観察可能なタイミングの矛盾	非対応	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応
CWE-209	機密情報を含むエラーメッセージの生成	非対応	非対応	非対応	非対応	非対応	非対応	非対応	非対応	対応
CWE-242	本質的に危険な関数の使用	対応	対応	非対応	対応	非対応	非対応	非対応	非対応	非対応
CWE-256	パスワードの平文ストレージ	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応
CWE-272	最小特権の違反	非対応	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応
CWE-276	不正なデフォルトパーミッション	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応	対応
CWE-295	不正な証明書の検証	非対応	非対応	対応	非対応	対応	対応	対応	対応	対応
CWE-297	ホストの不一致による証明書の不適切な検証	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応
CWE-306	重要な機能の認証の欠落	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応
CWE-311	機密情報の暗号化の欠落	非対応	非対応	非対応	非対応	非対応	非対応	非対応	非対応	対応
CWE-319	機密情報のクリアテキスト送信	非対応	非対応	非対応	非対応	対応	対応	対応	対応	非対応
CWE-322	エンティティ認証のないキー交換	非対応	非対応	非対応	対応	非対応	非対応	非対応	対応	非対応
CWE-323	暗号化におけるナンス、キーペアの再利用	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応
CWE-326	不適切な暗号強度	非対応	非対応	非対応	対応	対応	非対応	非対応	対応	対応
CWE-327	破損または危険な暗号アルゴリズムの使用	非対応	非対応	対応	対応	対応	対応	対応	対応	非対応
CWE-328	脆弱なハッシュの使用	非対応	非対応	非対応	非対応	非対応	対応	対応	非対応	対応
CWE-338	暗号学的に脆弱な擬似乱数ジェネレーター（PRNG）の使用	対応	対応	対応	対応	対応	対応	対応	対応	非対応
CWE-346	オリジンの検証エラー	非対応	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応
CWE-347	暗号署名の不適切な検証	非対応	非対応	非対応	非対応	対応	非対応	非対応	対応	非対応
CWE-348	信頼度の低いソースの使用	非対応	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応
CWE-352	クロスサイトリクエストフォージェリ（CSRF）	非対応	非対応	対応	非対応	対応	非対応	非対応	対応	対応
CWE-358	標準に対する不適切に実装されたセキュリティチェック	非対応	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応
CWE-369	ゼロ除算	対応	対応	非対応	非対応	非対応	非対応	非対応	非対応	対応
CWE-377	安全でない一時ファイル	対応	対応	非対応	対応	非対応	非対応	非対応	対応	非対応
CWE-401	有効ライフタイム後のメモリの解放の欠落	対応	対応	非対応	非対応	非対応	非対応	非対応	非対応	非対応
CWE-409	高度に圧縮されたデータの不適切な処理（データ増幅）	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応	非対応
CWE-416	解放後の使用	対応	対応	非対応	非対応	非対応	非対応	非対応	非対応	非対応
CWE-457	初期化されていない変数の使用	対応	対応	非対応	非対応	非対応	非対応	非対応	非対応	非対応
CWE-470	クラスまたはコードを選択するための外部制御入力の使用（「安全でないリフレクション」）	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応
CWE-476	NULLポインターの逆参照	対応	対応	非対応	非対応	非対応	非対応	非対応	非対応	非対応
CWE-477	廃止された関数の使用	対応	対応	非対応	非対応	非対応	非対応	非対応	非対応	非対応
CWE-489	アクティブなデバッグコード	非対応	非対応	非対応	対応	対応	非対応	非対応	対応	非対応
CWE-497	機密情報の不正な制御範囲への公開	非対応	非対応	非対応	非対応	非対応	非対応	対応	対応	非対応
CWE-501	信頼境界の違反	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応
CWE-502	信頼できないデータのデシリアライズ	非対応	非対応	対応	非対応	対応	対応	対応	対応	対応
CWE-521	脆弱なパスワード要件	非対応	非対応	対応	非対応	非対応	非対応	非対応	非対応	非対応
CWE-522	不十分に保護された認証情報	非対応	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応
CWE-552	外部関係者がアクセスできるファイルまたはディレクトリ	非対応	非対応	非対応	対応	対応	非対応	非対応	非対応	非対応
CWE-554	ASP.NET設定ミス: 入力の検証フレームワークを使用していません	非対応	非対応	対応	非対応	非対応	非対応	非対応	非対応	非対応
CWE-562	スタック変数のアドレスの返却	対応	対応	非対応	非対応	非対応	非対応	非対応	非対応	非対応
CWE-598	機密性の高いクエリ文字列を使用したGETリクエストメソッドの使用	非対応	非対応	非対応	非対応	非対応	非対応	対応	非対応	非対応
CWE-599	OpenSSL証明書の検証の欠落	非対応	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応
CWE-601	信頼できないサイトへのURLリダイレクト（「オープンリダイレクト」）	非対応	非対応	対応	対応	対応	対応	対応	対応	対応
CWE-606	ループ条件の未チェックの入力	非対応	非対応	非対応	非対応	非対応	対応	非対応	対応	非対応
CWE-611	XML外部エンティティ参照の不適切な制限	非対応	非対応	対応	対応	対応	対応	対応	対応	非対応
CWE-613	不十分なセッション有効期限	非対応	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応
CWE-614	‘Secure’ 属性のないHTTPSセッション内の機密Cookie	非対応	非対応	対応	対応	対応	対応	対応	非対応	非対応
CWE-639	ユーザー制御キーによる認可のバイパス	非対応	非対応	非対応	非対応	非対応	非対応	非対応	非対応	対応
CWE-643	XPath式内のデータの不適切な無効化（「XPathインジェクション」）	非対応	非対応	対応	非対応	対応	対応	非対応	対応	非対応
CWE-676	潜在的に危険な関数の使用	対応	対応	非対応	非対応	非対応	非対応	非対応	非対応	非対応
CWE-686	不正な引数型を使用した関数呼び出し	対応	対応	非対応	非対応	非対応	非対応	非対応	非対応	非対応
CWE-704	不正な型の変換またはキャスト	対応	対応	非対応	非対応	対応	非対応	非対応	非対応	非対応
CWE-732	重要なリソースに対する不正なアクセス許可の割り当て	対応	対応	非対応	対応	対応	非対応	非対応	対応	非対応
CWE-749	公開された危険なメソッドまたは関数	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	対応
CWE-754	異常または例外的な状態の不適切なチェック	対応	対応	非対応	非対応	非対応	非対応	非対応	非対応	対応
CWE-757	ネゴシエーション中の安全性の低いアルゴリズムの選択（「アルゴリズムのダウングレード」）	非対応	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応
CWE-770	制限またはスロットリングなしのリソースの割り当て	対応	対応	非対応	対応	非対応	対応	非対応	対応	非対応
CWE-776	DTDにおける再帰的エンティティ参照の不適切な制限（「XMLエンティティ拡張」）	非対応	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応
CWE-780	OAEPなしのRSAアルゴリズムの使用	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応
CWE-787	範囲外書き込み	対応	対応	非対応	非対応	非対応	対応	非対応	非対応	非対応
CWE-798	ハードコードされた認証情報の使用	非対応	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応
CWE-833	デッドロック	対応	対応	非対応	非対応	非対応	非対応	非対応	非対応	非対応
CWE-843	互換性のない型を使用したリソースへのアクセス（「型の混乱」）	対応	対応	非対応	非対応	非対応	非対応	非対応	非対応	非対応
CWE-913	動的に管理されるコードリソースの不適切な制御	非対応	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応
CWE-915	動的に決定されたオブジェクト属性の不適切に制御された変更	非対応	非対応	非対応	非対応	非対応	非対応	非対応	非対応	対応
CWE-917	式言語ステートメントで使用される特殊要素の不適切な無効化（「式言語インジェクション」）	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応
CWE-918	サーバーサイドアリクエストフォージェリ（SSRF）	非対応	非対応	対応	対応	対応	対応	対応	対応	対応
CWE-942	信頼できないドメインを持つ寛容なクロスドメインポリシー	非対応	非対応	非対応	対応	対応	対応	非対応	対応	非対応
CWE-943	データクエリロジックにおける特殊要素の不適切な無効化	非対応	非対応	非対応	対応	対応	対応	非対応	非対応	非対応
CWE-1004	‘HttpOnly’フラグのない機密Cookie	非対応	非対応	対応	対応	対応	対応	対応	対応	対応
CWE-1021	レンダリングされたUIレイヤーまたはフレームの不適切な制限	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応	非対応
CWE-1104	メンテナンスされていないサードパーティコンポーネントの使用	非対応	非対応	非対応	非対応	非対応	非対応	非対応	対応	非対応
CWE-1204	脆弱な初期化ベクター（IV）の生成	非対応	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応
CWE-1275	不適切なSameSite属性を持つ機密Cookie	非対応	非対応	非対応	非対応	非対応	対応	対応	対応	非対応
CWE-1321	オブジェクトプロトタイプの属性の不適切に制御された変更（「プロトタイプ汚染」）	非対応	非対応	非対応	非対応	非対応	対応	非対応	非対応	非対応
CWE-1327	制限されていないIPアドレスへのバインド	非対応	非対応	非対応	対応	非対応	非対応	非対応	対応	非対応
CWE-1333	非効率な正規表現の複雑さ	非対応	非対応	非対応	非対応	非対応	非対応	非対応	対応	対応
CWE-1336	テンプレートエンジンで使用される特殊要素の不適切なニュートラル化	非対応	非対応	非対応	非対応	非対応	非対応	対応	非対応	非対応
CWE-1390	脆弱な認証	非対応	非対応	非対応	非対応	対応	非対応	非対応	対応	非対応

このページはお客様の質問に答えられましたか？そうでない場合は、エピック15343にコメントして、ユースケースを共有してください。