⚠️インデントを無視したコーディングや不適切なコメントを入れることのセキュリティ上の危険性 危険なプログラミング CWEしらべ
CWE-1078: ソースコードのスタイルや書式が適切でない
品質上の問題で、間接的にセキュリティに関連する弱点の導入を容易にしたり、その発見を困難にしたりする可能性がある。
まあ確かに、森に木を隠す(Hide trees in the forest)ということわざもある
他にもこんなにある、記述系の脆弱性、危険度はおいといて観点だけでも
1076 期待される規則への不十分な適合性
546 不審なコメント
547 セキュリティに関連するハードコードされた定数の使用
1085 コメントアウトされたコードが過剰
1099 識別子の命名規約の不統一
1106 記号定数の不十分な使用
1107 記号定数定義の分離の不備
1109 複数の目的での同一変数の使用
1113 不適切なコメント文体
1114 不適切な空白文字の使用
1115 標準プロローグなしのソースコード要素
1116 不正確なコメント
1117 動作概要が不十分な呼び出し可能項目
546 不審なコメント
コード中のBUG、HACK、FIXME、LATER、LATER2、TODOなどの多くの疑わしいコメントは、セキュリティ機能やチェックが不足していることを示しています。その他、ハードコーディングされた変数、エラー処理、ストアドプロシージャの未使用、パフォーマンスの問題など、プログラマが修正すべきコードの問題を示している。
以下の抜粋は、不完全なコードブロックに不審なコメントが使用されており、セキュリティに影響を及ぼす可能性があることを示しています。
1113 不適切なコメント文体
この問題は、読みにくさによってソフトウェアの保守が困難になり、脆弱性の発見や修正が困難になったり、時間がかかったりすることで、間接的にセキュリティに影響を及ぼします。また、脆弱性の導入が容易になる可能性もあります。
疑わしいコメントは、ソースコードに問題があり、修正する必要があることを示している可能性があり、品質が低いことの表れである。これは、さらなるバグの発生や弱点の混入につながる可能性があります。
1114 不適切な空白文字の使用
ソースコードに、コード全体で一貫性のない空白や、製品に期待される標準に従っていない空白が含まれています。
483: 誤ったブロックの区切り
言語によっては、ブロックに中括弧(または他のデリミタ)を付けることが任意となっているものもある。区切り文字が省略されると、ある文がブロックの中にあると思われるのに、そうでないという論理エラーを挿入することができる。場合によっては、このロジックエラーはセキュリティに影響を与えることもある。
1124: 深すぎるネスト
ネストや分岐が深すぎる呼び出し可能なコードまたはその他のコードグループが含まれています。
いいなと思ったら応援しよう!
