02a. 静的スキャンはプロセスの重要な部分

静的スキャンはプロセスの重要な部分

静的コード解析またはソースコード解析は一般的にコードレビュー (ホワイトボックステスト) の一部であり、プログラムを実行せずにコードを調べることにより行われるコンピュータプログラムデバッグ手法です。 静的スキャンは以下のようなコーディングの問題を見つけるのに適した方法です。

• 構文違反

• セキュリティ脆弱性

• プログラミングエラー

• コーディング規約違反

• 未定義の値

静的コード解析の詳細については OWASP ページ をご覧ください。 より良い結果を得るために、静的セキュリティスキャンとサードパーティコード (オープンソースライブラリ(依存関係)) スキャンを組み合わせることができます。 この部分をより適切でより完全にする (設定ミスを防止する) ために、 IaC (Infrastructure as code) セキュリティスキャンを導入することもできます。たとえば Terraform, helm, Ansible のコードなどをチェックします。 したがって上記の行によると、このステップで可能なアクションは以下のようになります。

• 静的コード解析 (通称 SAST)

• オープンソースライブラリ (サードパーティ / 依存関係) スキャン (通称 SCA)

• IaC セキュリティスキャン

---

ツール

• フリーの静的アプリケーションセキュリティテストツール:

  • CodeSec by Contrast Security - 開発者および CI/CD パイプラインで使用するために設計された高速で高品質なフリーの SAST ツールです。

  • SonarQube - オープンソースのウェブベースのツールで 20 以上の言語に対応しており、多くのプラグインもあります

  • Brakeman - Ruby on Rails アプリケーション向けの静的解析セキュリティ脆弱性スキャナです

  • CodeQL - 業界をリードするセマンティックコード解析エンジン CodeQL により、コードベース全体の脆弱性を発見します。

• 商用の静的アプリケーションセキュリティテストツール:

  • Veracode - SaaS モデル上に構築された静的解析ツールです。このツールは主にセキュリティの観点からコードを解析するために使用されます

  • security code scan - C＃ と VB.NET 向けの脆弱性パターン検出器です

  • Enlightn - Laravel PHP アプリケーション向けの静的解析脆弱性スキャナです

  • Inquisition - Ruby および Ruby on Rails で構築されたウェブアプリケーションのテクニカル分析に便利なツールセットです。これですべての単体 gem をセットアップして構成する必要がなくなります。代わりに Inquisition gem を使用します。

  • CodeSweep - GitHub 向けの静的解析ツールです。フリーに使えてプルリクエストでコードをスキャンできます。 20 以上の言語と IaC (docker, k8s) をサポートしています。 VS Code 版は こちら にあります

  • HCL AppScan on Cloud - サービスとして構築された SAST ツールです。このツールは従来の SAST, SCA, IaC スキャンを実行できます。

  • Semgrep - 多くの言語に対応した軽量な静的解析です。ソースコードのようなパターンでバグと思われるものを見つけます。

  • Checkmarx SAST - 静的解析セキュリティ脆弱性スキャナです

  • Fortify- 静的解析セキュリティ脆弱性スキャナです

  • PT Application Inspector - 高品質な解析と脆弱性を自動的に確認する便利なツールを提供する唯一のソースコードアナライザです - レポートにより作業を大幅にスピードアップし、セキュリティ専門家と開発者との間のチームワークを簡素化します

• Infrastructure as Code スキャンツール:

  • Checkov - Bridgecrew の Checkov で Terraform, Cloudformation, Kubernetes, Serverless フレームワーク、およびその他の infrastructure-as-code-languages のビルド時のクラウド設定ミスを防止します

  • ansible-lint - Ansible のベストプラクティスチェッカです

  • puppet-lint - Puppet マニフェストがスタイルガイドに準拠していることをチェックします

  • tfsec - Terraform コード向けのセキュリティスキャナです

  • terrascan - クラウドネイティブインフラストラクチャをプロビジョニングする前に Infrastructure as Code 全体でコンプライアンスやセキュリティ違反を検出してリスクを軽減します

  • tflint - プラグ可能な Terraform リンターです

  • Trivy - Docker, Kubernetes, Terraform, CloudFormation の設定上の問題を検出するビルトインポリシーを提供します。また、Conftest のように JSON, YAML などをスキャンする独自のポリシーを Rego に記述することもできます。

  • KICS - Checkmarx の KICS を用いて Infrastructure-as-Code の開発サイクルの早い段階でセキュリティ脆弱性、コンプライアンス問題、インフラストラクチャ設定ミスを発見します。