2-2-2-1-静的アプリケーションセキュリティテスト (Static-Application-Security-Testing)

静的スキャンはプロセスの重要な部分

静的コード解析またはソースコード解析は一般的にコードレビュー (ホワイトボックステスト) の一部であり、プログラムを実行せずにコードを調べることにより行われるコンピュータプログラムデバッグ手法です。静的スキャンは以下のようなコーディングの問題を見つけるのに適した方法です。

構文違反
セキュリティ脆弱性
プログラミングエラー
コーディング規約違反
未定義の値

静的コード解析の詳細については OWASP ページをご覧ください。より良い結果を得るために、静的セキュリティスキャンとサードパーティコード (オープンソースライブラリ(依存関係)) スキャンを組み合わせることができます。この部分をより適切でより完全にする (設定ミスを防止する) ために、 IaC (Infrastructure as code) セキュリティスキャンを導入することもできます。たとえば Terraform, helm, Ansible のコードなどをチェックします。したがって上記の行によると、このステップで可能なアクションは以下のようになります。

静的コード解析 (通称 SAST)
オープンソースライブラリ (サードパーティ / 依存関係) スキャン (通称 SCA)
IaC セキュリティスキャン

ツール

フリーの静的アプリケーションセキュリティテストツール:
- CodeSec by Contrast Security - 開発者および CI/CD パイプラインで使用するために設計された高速で高品質なフリーの SAST ツールです。
- SonarQube - オープンソースのウェブベースのツールで 20 以上の言語に対応しており、多くのプラグインもあります
- Brakeman - Ruby on Rails アプリケーション向けの静的解析セキュリティ脆弱性スキャナです
- CodeQL - 業界をリードするセマンティックコード解析エンジン CodeQL により、コードベース全体の脆弱性を発見します。
商用の静的アプリケーションセキュリティテストツール:
- Veracode - SaaS モデル上に構築された静的解析ツールです。このツールは主にセキュリティの観点からコードを解析するために使用されます
- security code scan - C＃と VB.NET 向けの脆弱性パターン検出器です
- Enlightn - Laravel PHP アプリケーション向けの静的解析脆弱性スキャナです
- Inquisition - Ruby および Ruby on Rails で構築されたウェブアプリケーションのテクニカル分析に便利なツールセットです。これですべての単体 gem をセットアップして構成する必要がなくなります。代わりに Inquisition gem を使用します。
- CodeSweep - GitHub 向けの静的解析ツールです。フリーに使えてプルリクエストでコードをスキャンできます。 20 以上の言語と IaC (docker, k8s) をサポートしています。 VS Code 版はこちらにあります
- HCL AppScan on Cloud - サービスとして構築された SAST ツールです。このツールは従来の SAST, SCA, IaC スキャンを実行できます。
- Semgrep - 多くの言語に対応した軽量な静的解析です。ソースコードのようなパターンでバグと思われるものを見つけます。
- Checkmarx SAST - 静的解析セキュリティ脆弱性スキャナです
- Fortify- 静的解析セキュリティ脆弱性スキャナです
- PT Application Inspector - 高品質な解析と脆弱性を自動的に確認する便利なツールを提供する唯一のソースコードアナライザです - レポートにより作業を大幅にスピードアップし、セキュリティ専門家と開発者との間のチームワークを簡素化します

Previous2-2-2-静的解析 (Static-Analysis)Next2-2-2-2-ソフトウェアコンポジション解析 (Software-Composition-Analysis)

Last updated 4 months ago