HARDCODED.KEY : ハードコードされた暗号キー

JavaScript is not currently enabled, but is required for full CodeSonar manual search and browse functionality.

If you are viewing this file in your hub's Web GUI, enable JavaScript in your browser: you will also need it for GUI functionality.

If you opened this file directly from disk, your browser may be directly suppressing JavaScript functionality: certain browsers perform this suppression on local files (but not files delivered by web servers) for security reasons.

If you access the manual through the hub's Web GUI, the functionality will not be suppressed because the hub is a web server.
Alternatively, your browser may allow you to explicitly disable the security setting that suppresses functionality. See the CodeSonar FAQ for more information.

CodeSonar^® 9.2p0

CONFIDENTIAL

CodeSecure Inc

C and C++

Binaries

HARDCODED.KEY : ハードコードされた暗号キー

要旨

暗号化されたキーが引き渡される関数に、ハードコードされた値が渡されています。

プロパティ

クラス名

Hardcoded Crypto Key

日本語クラス名

ハードコードされた暗号キー

クラス分類

セキュリティ (security)

ニーモニック

HARDCODED.KEY

カテゴリー

CWE	CWE:318	Cleartext Storage of Sensitive Information in Executable
	CWE:321	Use of Hard-coded Cryptographic Key
	CWE:540	Inclusion of Sensitive Information in Source Code
	CWE:547	Use of Hard-coded, Security-relevant Constants
	CWE:798	Use of Hard-coded Credentials
CERT-C	CERT-C:MSC18-C	Be careful while handling sensitive data, such as passwords, in program code
	CERT-C:MSC41-C	Never hard code sensitive information
OWASP-2017	OWASP-2017:A5	Broken access control
	OWASP-2017:A6	Security misconfiguration
OWASP-2021	OWASP-2021:A1	Broken access control
	OWASP-2021:A2	Cryptographic failures
	OWASP-2021:A4	Insecure design
	OWASP-2021:A5	Security misconfiguration
	OWASP-2021:A7	Identification and authorization failures
OWASP-2025	OWASP-2025:A01	Broken Access Control
	OWASP-2025:A02	Security Misconfiguration
	OWASP-2025:A04	Cryptographic Failures
	OWASP-2025:A06	Insecure Design

対応言語

C および C++ で利用可能です。

有効/無効設定

このワーニングクラスのチェックはデフォルトで有効になっています。チェックを無効にするにはプロジェクト設定ファイル（configuration file）に以下の WARNING_FILTER ルールを追加してください。

WARNING_FILTER += discard class="Hardcoded Crypto Key"

例

#include <crypt.h>

void hardcoded_key(const char *p, const char *q){
    crypt("password", q); /* 'Hardcoded Crypto Key' warning issued here
                           * ('Use of crypt' warning also issued)
                           */
    crypt(p, q);                       /* ok: not hardcoded */
                          /* ('Use of crypt' warning issued here) */
}

注釈

このクラスは一般テンプレート設定ファイル（general template configuration file）の HARDCODED_ARGS_* ルールにて定義され、暗号化されたキーと引数とする多くの関数をサポートしています。

このクラスをチェックする関数を追加するには、以下の新たな HARDCODED_ARGS_* ルールのセットを作成してください。
- HARDCODED_ARGS_REGEX はチェックしたい関数名もしくは関数名の組み合わせを設定します。
- HARDCODED_ARGS_LIST はハードコードされるべきでない暗号化されたキーを含む一つもしくは複数のパラメータ位置を設定します。
- HARDCODED_ARGS_CLASS_NAME は "Hardcoded Crypto Key" を設定します。
- HARDCODED_ARGS_CATEGORIES および HARDCODED_ARGS_BASE_RANK は既に設定されている他の Hardcoded Crypto Key ルールと同様に設定します。
このクラスをチェックする関数を除外するには、一致する HARDCODED_ARGS_* ルールを一般テンプレート設定ファイルからコメントアウトしてください。

HARDCODED.KEY : ハードコードされた暗号キー

要旨

プロパティ

例

注釈

関連のある設定ファイルパラメータ