Secure プロダクトメトリクス

このページでは、Secure ステージが開発・管理するプロダクトのさまざまなメトリクスを示します。

私たちは、標準的な脆弱性分類システムおよびソフトウェアの弱点を議論するための共通言語として、Common Weakness Enumeration (CWE) を積極的にサポートしています。

CWE を基盤として使用することにはいくつかの利点があります。

  1. CWE は包括的かつ十分に文書化されたシステムであり、ソフトウェアの弱点を議論するためのデファクトスタンダードと見なすことができます。
  2. CWE は他の脆弱性・分類システムやランキング(OWASP Top 10 など)へのマッピングを提供しています。
  3. CWE は安定したオントロジーを提供しています。定義は追加できますが、既存の定義は変更されません(OWASP ランキングとは異なり)。

CWE は階層的なシステムであり、親 CWE が子 CWE よりも一般的なツリー構造で編成されたオントロジーを持っています。子 CWE は、親よりも具体的な条件で脆弱性を捉えます。

CWE とは対照的に、OWASP Top 10 は最も重大なセキュリティ脆弱性のリスクランキングを提供しています。10のリスクカテゴリは定期的に変更されます。

以下の表は、OWASP カテゴリとその CWE の対応関係を示しています。この表には、OWASP Top10 ウェブサイトに記載されているすべての CWE マッピング(子 CWE を含む推移的な CWE マッピング)が含まれています。

OWASPCWEs
A1: Broken Access Control8, 9, 13, 15, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 61, 62, 64, 65, 66, 67, 69, 72, 73, 94, 95, 96, 97, 98, 114, 134, 178, 200, 201, 202, 203, 204, 205, 206, 207, 208, 209, 210, 211, 213, 214, 215, 219, 220, 250, 256, 257, 258, 259, 260, 261, 262, 263, 264, 266, 267, 268, 269, 270, 271, 272, 273, 274, 275, 276, 277, 278, 279, 281, 282, 283, 284, 285, 286, 287, 288, 289, 290, 291, 293, 294, 295, 296, 297, 298, 299, 300, 301, 302, 303, 304, 305, 306, 307, 308, 309, 312, 313, 314, 315, 316, 317, 318, 321, 322, 346, 350, 352, 359, 370, 374, 375, 377, 378, 379, 386, 402, 403, 419, 420, 421, 422, 424, 425, 426, 427, 428, 433, 441, 470, 472, 488, 491, 492, 493, 497, 498, 499, 500, 502, 520, 521, 522, 523, 524, 525, 526, 527, 528, 529, 530, 531, 532, 535, 536, 537, 538, 539, 540, 541, 548, 549, 550, 551, 552, 553, 555, 556, 565, 566, 582, 583, 593, 598, 599, 601, 603, 608, 612, 615, 619, 620, 621, 623, 627, 638, 639, 640, 642, 645, 647, 648, 651, 668, 706, 708, 732, 767, 784, 798, 804, 827, 836, 842, 862, 863, 913, 914, 915, 918, 921, 922, 923, 925, 926, 927, 939, 940, 941, 942, 1004, 1021, 1022, 1189, 1191, 1220, 1222, 1224, 1230, 1231, 1242, 1243, 1244, 1252, 1254, 1255, 1256, 1257, 1258, 1259, 1260, 1262, 1263, 1267, 1268, 1270, 1273, 1274, 1275, 1276, 1280, 1282, 1283, 1290, 1292, 1294, 1295, 1296, 1297, 1299, 1300, 1302, 1303, 1304, 1311, 1312, 1313, 1314, 1315, 1316, 1317, 1320, 1321, 1323, 1324, 1327, 1328, 1334, 1336
A2: Cryptographic Failures5, 6, 259, 261, 296, 310, 319, 321, 322, 323, 324, 325, 326, 327, 328, 329, 330, 331, 332, 333, 334, 335, 336, 337, 338, 339, 340, 341, 342, 343, 344, 347, 523, 587, 720, 757, 759, 760, 780, 798, 804, 818, 916, 1204, 1240, 1241
A3: Injection15, 20, 37, 42, 43, 45, 46, 49, 50, 52, 53, 54, 56, 73, 74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 93, 94, 95, 96, 97, 98, 99, 100, 102, 103, 104, 105, 106, 107, 108, 109, 110, 111, 112, 113, 114, 116, 117, 119, 120, 121, 122, 123, 124, 125, 126, 127, 129, 130, 134, 138, 140, 141, 142, 143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158, 159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 170, 179, 180, 181, 184, 190, 291, 384, 415, 416, 441, 462, 464, 466, 470, 471, 472, 473, 554, 564, 601, 606, 607, 610, 611, 621, 622, 624, 626, 627, 641, 643, 644, 652, 680, 692, 694, 781, 785, 786, 787, 788, 789, 790, 791, 792, 793, 794, 795, 796, 797, 805, 806, 822, 823, 824, 825, 838, 914, 917, 918, 943, 1021, 1173, 1174, 1236, 1284, 1285, 1286, 1287, 1288, 1289, 1336
A4: Insecure Design5, 9, 13, 15, 73, 102, 105, 106, 108, 109, 114, 183, 209, 210, 211, 213, 235, 250, 256, 257, 258, 259, 260, 266, 267, 268, 269, 270, 271, 272, 273, 274, 280, 302, 307, 308, 309, 311, 312, 313, 314, 315, 316, 317, 318, 319, 321, 350, 419, 424, 425, 426, 430, 434, 444, 447, 451, 455, 472, 501, 520, 522, 523, 525, 535, 536, 537, 539, 549, 550, 554, 555, 556, 565, 579, 598, 602, 603, 614, 623, 636, 637, 638, 642, 646, 648, 650, 653, 654, 655, 656, 657, 671, 784, 798, 799, 807, 837, 840, 841, 927, 942, 1007, 1021, 1022, 1173, 1174, 1192, 1331
A5: Security Misconfiguration2, 7, 11, 12, 13, 15, 16, 258, 260, 315, 520, 526, 537, 541, 547, 555, 611, 614, 756, 776, 942, 1004, 1032, 1174
A6: Vulnerable and Outdated Components937, 1035, 1104
A7: Identification and Authentication Failures13, 255, 256, 257, 258, 259, 260, 261, 262, 263, 287, 288, 289, 290, 291, 293, 294, 295, 296, 297, 298, 299, 300, 301, 302, 303, 304, 305, 306, 307, 308, 309, 321, 346, 350, 370, 384, 425, 521, 522, 523, 549, 555, 593, 599, 603, 613, 620, 640, 645, 798, 804, 836, 940, 1216, 1299, 1324
A8: Software and Data Integrity Failures98, 345, 346, 347, 348, 349, 351, 352, 353, 354, 360, 422, 426, 494, 502, 565, 616, 646, 649, 784, 827, 829, 830, 915, 924, 1293, 1321
A9: Security Logging and Monitoring Failures117, 223, 532, 778
A10: Server-Side Request Forgery (SSRF)918

以下では、異なる Secure プロダクトの OWASP および CWE カバレッジを確認できます。 以下のすべてのグラフは、私たちのセキュリティスキャンから得られたライブの匿名化された脆弱性データによって提供されています。これらは、私たちのセキュリティスキャンツールの実際の顧客利用において積極的に検出している脆弱性です。

OWASP Top 10 2021 カバレッジ

以下のグラフは、OWASP Top 10 2021 にマッピングされる CWE を示しています。 これらの CWE はすべて、GitLab の SAST/DAST および依存関係スキャン機能によって検出されます。

Tableau でデータは利用不可

CWE カバレッジ

SAST

以下の表は、gitlab.com でホストされているプロジェクト上の私たちの SAST アナライザーによって報告された Common Weakness Enumerator (CWE) の結果を合計したものです。

Tableau でデータは利用不可

以下では、各アナライザーによって検出される CWE のリストを確認できます。

eslint
flawfinder
gosec
nodejs-scan
semgrep
spotbugs

DAST

以下の表は、gitlab.com でホストされているプロジェクト上の私たちの DAST アナライザーによって報告された Common Weakness Enumerator (CWE) の結果を合計したものです。

Tableau でデータは利用不可

依存関係スキャン用 GitLab アドバイザリーデータベース

依存関係スキャンのアドバイザリーに関する統計情報は、依存関係スキャンアドバイザリーの GitLab ランディングページで確認できます。

最終更新 May 6, 2026: Merge pull request #100 from kyama0/fix/upload-images-tolerate-upstream-missing (70970e1a)
ページのソースコードを見る - ページの編集 - please contribute. Creative Commons License