2-2-2-1-静的アプリケーションセキュリティテスト (Static-Application-Security-Testing)
静的スキャンはプロセスの重要な部分
構文違反
セキュリティ脆弱性
プログラミングエラー
コーディング規約違反
未定義の値
静的コード解析の詳細については OWASP ページ をご覧ください。 より良い結果を得るために、静的セキュリティスキャンとサードパーティコード (オープンソースライブラリ(依存関係)) スキャンを組み合わせることができます。 この部分をより適切でより完全にする (設定ミスを防止する) ために、 IaC (Infrastructure as code) セキュリティスキャンを導入することもできます。たとえば Terraform, helm, Ansible のコードなどをチェックします。 したがって上記の行によると、このステップで可能なアクションは以下のようになります。
静的コード解析 (通称 SAST)
オープンソースライブラリ (サードパーティ / 依存関係) スキャン (通称 SCA)
IaC セキュリティスキャン
ツール
フリーの静的アプリケーションセキュリティテストツール:
CodeSec by Contrast Security - 開発者および CI/CD パイプラインで使用するために設計された高速で高品質なフリーの SAST ツールです。
SonarQube - オープンソースのウェブベースのツールで 20 以上の言語に対応しており、多くのプラグインもあります
Brakeman - Ruby on Rails アプリケーション向けの静的解析セキュリティ脆弱性スキャナです
CodeQL - 業界をリードするセマンティックコード解析エンジン CodeQL により、コードベース全体の脆弱性を発見します。
商用の静的アプリケーションセキュリティテストツール:
Veracode - SaaS モデル上に構築された静的解析ツールです。このツールは主にセキュリティの観点からコードを解析するために使用されます
security code scan - C# と VB.NET 向けの脆弱性パターン検出器です
Enlightn - Laravel PHP アプリケーション向けの静的解析脆弱性スキャナです
Inquisition - Ruby および Ruby on Rails で構築されたウェブアプリケーションのテクニカル分析に便利なツールセットです。これですべての単体 gem をセットアップして構成する必要がなくなります。代わりに Inquisition gem を使用します。
HCL AppScan on Cloud - サービスとして構築された SAST ツールです。このツールは従来の SAST, SCA, IaC スキャンを実行できます。
Semgrep - 多くの言語に対応した軽量な静的解析です。ソースコードのようなパターンでバグと思われるものを見つけます。
Checkmarx SAST - 静的解析セキュリティ脆弱性スキャナです
Fortify- 静的解析セキュリティ脆弱性スキャナです
PT Application Inspector - 高品質な解析と脆弱性を自動的に確認する便利なツールを提供する唯一のソースコードアナライザです - レポートにより作業を大幅にスピードアップし、セキュリティ専門家と開発者との間のチームワークを簡素化します
Last updated