新しいTesting Handbookの章で、CとC++をマスターしましょう

テストハンドブックに新しい章が追加され、CおよびC++コードの包括的なセキュリティチェックリストに焦点を当てています。この章では、CおよびC++コードベース全体でよくあるバグクラス、よくある落とし穴、APIの落とし穴について解説しており、Linux、Windows、seccompの各セクションに分かれています。この章は、静的および動的分析に焦点を当てた他のハンドブックの章を補完し、手動でのコードレビューの強力な基盤を提供します。このチェックリストは、大規模言語モデルがコードベースに対して実行できるバグ発見プロンプトにチェックリストを変換するClaudeスキルとして開発中です。この章では、一般的なバグクラス、Linuxユーザーモードとカーネル、Windowsユーザーモードとカーネル、seccomp/BPFサンドボックスなど、5つの領域をカバーしています。Linuxユーザーモードのセクションではlibcの落とし穴に焦点を当て、WindowsのセクションではDLLインジェクション、引用符のないパスの脆弱性、パスのトラバーサル問題について解説しています。投稿の最後には、C/C++レビューのスキルを試すための2つの課題が提供されており、最初の10件の正解者にはTrail of Bitsのグッズが贈られます。課題には、2つのlibcの落とし穴があるシンプルなpingプログラムと、容易に悪用可能なサービス拒否（DoS）を含むいくつかのバグがあるWindows Driver Frameworkドライバーのリクエストハンドラーが含まれています。目標は、この章を含め、ハンドブックを継続的に更新し、ソースコードセキュリティレビューに関わるセキュリティ専門家や開発者にとって重要なリソースであり続けることです。