📗
owasp-devsecops-guideline-ja
  • OWASP DevSecOps Guideline ja
  • OWASP DevSecOps ガイドライン 日本語版
    • OWASP DevSecOps ガイドライン
  • V0.3
    • 0-概論 (Intro)
      • 0-1-序文 (Intro)
      • 0-2-概要 (Overview)
    • 1-要員 (People)
      • 1-1-チーム形成 (Shape-the-team)
        • 1-1-1-セキュリティチャンピオン (Security-champions)
      • 1-2-トレーニング (Training)
        • 1-2-1-セキュアコーディング (Secure-coding)
        • 1-2-2-セキュリティ CI/CD (Security-CICD)
    • 2-プロセス (Process)
      • 2-1-設計 (Design)
        • 2-1-1-脅威モデリング (Threat-modeling)
      • 2-2-開発 (Develop)
        • 2-2-1-コミット前 (Pre-commit)
          • 2-2-1-1-プレコミット (Pre-commit)
          • 2-2-1-2-シークレット管理 (Secrets-Management)
          • 2-2-1-3-コードのリンティング (Linting-code)
          • 2-2-1-4-リポジトリ堅牢化 (Repository-Hardening)
      • 2-3-ビルド (Build)
        • 2-3-1-静的解析 (Static-Analysis)
          • 2-3-1-1-静的アプリケーションセキュリティテスト (Static-Application-Security-Testing)
          • 2-3-1-2-ソフトウェアコンポジション解析 (Software-Composition-Analysis)
          • 2-3-1-3-Infastructure as Code (Infastructure-as-Code-Scanning)
          • 2-3-1-4-コンテナセキュリティ (Container-Security)
            • 2-3-1-4-1-コンテナスキャン (Container-Scanning)
            • 2-3-1-4-2-コンテナ堅牢化 (Container-Hardening)
      • 2-4-テスト (Test)
        • 2-4-1-インタラクティブアプリケーションセキュリティテスト (Interactive-Application-Security-Testing)
        • 2-4-2-動的アプリケーションセキュリティテスト (Dynamic-Application-Security-Testing)
        • 2-4-3-モバイルアプリケーションセキュリティテスト (Mobile-Application-Security-Test)
        • 2-4-4-API セキュリティ (API-Security)
        • 2-4-5-構成ミスチェック (Misconfiguration-Check)
      • 2-7-運用 (Operate)
        • 2-7-1-クラウドネイティブセキュリティ (Cloud-Native-Security)
        • 2-7-2-ログ記録と監視 (Logging-and-Monitoring)
        • 2-7-3-ペンテスト (Pentest)
        • 2-7-4-脆弱性管理 (Vulnerability-Management)
        • 2-7-6-侵害と攻撃のシミュレーション (Breach-and-attack-simulation)
    • 3-ガバナンス (Governance)
      • 3-2-データ保護 (Data-protection)
      • 3-1-コンプライアンス監査 (Compliance-Auditing)
        • 3-1-1-コンプライアンス監査 (Compliance-Auditing)
        • 3-1-2-Policy as Code (Policy-as-code)
        • 3-1-3-セキュリティベンチマーク (Security-benchmarking)
      • 3-3-レポーティング (Reporting)
        • 3-3-1-成熟度追跡 (Tracking-maturities)
        • 3-3-2-脆弱性一元管理ダッシュボード (Central-vulnerability-management-dashboard)
  • V0.2
    • 0-概論 (Intro)
      • 0-1-序文 (Intro)
      • 0-2-概要 (Overview)
    • 1-導入 (Init)
      • 1-1-チーム形成 (Shape-the-team)
        • 1-1-1-セキュリティ担当者 (Security-champions)
      • 1-2-トレーニング (Training)
        • 1-2-1-セキュアコーディング (Secure-coding)
        • 1-2-2-セキュリティ CI/CD (Security-CICD)
    • 2-コミット前 (Pre-commit)
      • 2-1-プレコミット (Pre-commit)
      • 2-2-脅威モデリング (Threat-modeling)
      • 2-3-リポジトリ堅牢化 (Repository-hardening)
      • 2-4-シークレット管理 (Secrets-Management)
      • 2-5-コードのリンティング (Linting-code)
    • 3-コミット CI (Commit-CI)
      • 3-2-インタラクティブアプリケーションセキュリティテスト (Interactive-Application-Security-Testing)
      • 3-1-静的解析 (Static-analysis)
        • 3-1-1-静的アプリケーションセキュリティテスト (Static-Application-Security-Testing)
        • 3-1-2-ソフトウェアコンポジション解析 (Software-Composition-Analysis)
        • 3-1-3-コンテナセキュリティ (Container-Security)
          • 3-1-3-1-コンテナスキャン (Container-scanning)
          • 3-1-3-2-コンテナ堅牢化 (Container-hardening)
        • 3-1-4-Infastructure as Code (Infastructure-as-code)
    • 4-継続的デリバリ CD (Continuous-delivery-CD)
      • 4-1-動的アプリケーションセキュリティテスト (Dynamic-Application-Security-Testing)
      • 4-2-モバイルアプリケーションセキュリティテスト (Mobile-Application-Security-Test)
      • 4-3-API セキュリティ (API-Security)
      • 4-4-設定ミスのチェック (Miss-Configuration-Check)
    • 5-デプロイ CD 稼働開始 (Deploy-CD-Golive)
      • 5-1-鍵と証明書の管理 (Key-and-certificate-management)
      • 5-2-クラウドネイティブアプリケーション保護プラットフォーム (Cloud-Native-Application-Protection-Platform)
    • 6-運用 (Operation)
      • 6-1-稼働時テスト|継続的テスト (Runtime|Continuous-test)
        • 6-1-1-インフラスキャン (Infra-scanning)
          • 6-1-1-1-クラウドリソース (Could-resources)
          • 6-1-1-2-K8S リソース (K8S-resources)
        • 6-1-2-イメージスキャン (Image-scanning)
      • 6-2-侵害と攻撃のシミュレーション (Breach-and-attack-simulation)
      • 6-3-ログ記録と監視 (Logging-and-Monitoring)
      • 6-4-ペンテスト (Pentest)
      • 6-5-脆弱性開示ポリシーとバグバウンティ (VDP|Bug-bounty)
    • 7-ガバナンス (Governance)
      • 7-1-コンプライアンス監査 (Compliance-Auditing)
        • 7-1-1-コンプライアンス監査 (Compliance-Auditing)
        • 7-1-2-Policy as Code (Policy-as-code)
        • 7-1-3-セキュリティベンチマーク (Security-benchmarking)
      • 7-2-データ保護 (Data-protection)
      • 7-3-レポーティング (Reporting)
        • 7-3-1-成熟度追跡 (Tracking-maturities)
        • 7-3-2-脆弱性一元管理ダッシュボード (Central-vulnerability-management-dashboard)
  • V0.1
    • 00. OWASP DevSecOps ガイドラインの概要
      • 00a. DevSecOps 入門
      • 00b. 脅威モデリング
    • 01. コミット前に
      • 01a. シークレットとクレデンシャルに注意
      • 01b. コードのリンティング
    • 02. 脆弱性スキャン
      • 02a. 静的スキャンはプロセスの重要な部分
      • 02b. 動的アプリケーションセキュリティテスト (DAST)
      • 02c. インタラクティブアプリケーションセキュリティテスト
      • 02d. ソフトウェアコンポーネント/コンポジション解析 (SCA)
      • 02e. インフラストラクチャ脆弱性スキャン
      • 02f. コンテナ脆弱性スキャン
      • 02g. プライバシー
      • 02h. 脆弱性の一元管理
    • 03. コンプライアンス監査
Powered by GitBook
On this page
  1. V0.1
  2. 02. 脆弱性スキャン

02a. 静的スキャンはプロセスの重要な部分

Previous02. 脆弱性スキャンNext02b. 動的アプリケーションセキュリティテスト (DAST)

Last updated 4 months ago

静的スキャンはプロセスの重要な部分

静的コード解析またはソースコード解析は一般的にコードレビュー (ホワイトボックステスト) の一部であり、プログラムを実行せずにコードを調べることにより行われるコンピュータプログラムデバッグ手法です。 静的スキャンは以下のようなコーディングの問題を見つけるのに適した方法です。

  • 構文違反

  • セキュリティ脆弱性

  • プログラミングエラー

  • コーディング規約違反

  • 未定義の値

静的コード解析の詳細については をご覧ください。 より良い結果を得るために、静的セキュリティスキャンとサードパーティコード (オープンソースライブラリ(依存関係)) スキャンを組み合わせることができます。 この部分をより適切でより完全にする (設定ミスを防止する) ために、 IaC (Infrastructure as code) セキュリティスキャンを導入することもできます。たとえば Terraform, helm, Ansible のコードなどをチェックします。 したがって上記の行によると、このステップで可能なアクションは以下のようになります。

  • 静的コード解析 (通称 SAST)

  • オープンソースライブラリ (サードパーティ / 依存関係) スキャン (通称 SCA)

  • IaC セキュリティスキャン

ツール

  • フリーの静的アプリケーションセキュリティテストツール:

    • - 開発者および CI/CD パイプラインで使用するために設計された高速で高品質なフリーの SAST ツールです。

    • - オープンソースのウェブベースのツールで 20 以上の言語に対応しており、多くのプラグインもあります

    • - Ruby on Rails アプリケーション向けの静的解析セキュリティ脆弱性スキャナです

    • - 業界をリードするセマンティックコード解析エンジン CodeQL により、コードベース全体の脆弱性を発見します。

  • 商用の静的アプリケーションセキュリティテストツール:

    • - SaaS モデル上に構築された静的解析ツールです。このツールは主にセキュリティの観点からコードを解析するために使用されます

    • - C# と VB.NET 向けの脆弱性パターン検出器です

    • - Laravel PHP アプリケーション向けの静的解析脆弱性スキャナです

    • - Ruby および Ruby on Rails で構築されたウェブアプリケーションのテクニカル分析に便利なツールセットです。これですべての単体 gem をセットアップして構成する必要がなくなります。代わりに Inquisition gem を使用します。

    • - GitHub 向けの静的解析ツールです。フリーに使えてプルリクエストでコードをスキャンできます。 20 以上の言語と IaC (docker, k8s) をサポートしています。 VS Code 版は にあります

    • - サービスとして構築された SAST ツールです。このツールは従来の SAST, SCA, IaC スキャンを実行できます。

    • - 多くの言語に対応した軽量な静的解析です。ソースコードのようなパターンでバグと思われるものを見つけます。

    • - 静的解析セキュリティ脆弱性スキャナです

    • - 静的解析セキュリティ脆弱性スキャナです

    • - 高品質な解析と脆弱性を自動的に確認する便利なツールを提供する唯一のソースコードアナライザです - レポートにより作業を大幅にスピードアップし、セキュリティ専門家と開発者との間のチームワークを簡素化します

  • Infrastructure as Code スキャンツール:

    • - Bridgecrew の Checkov で Terraform, Cloudformation, Kubernetes, Serverless フレームワーク、およびその他の infrastructure-as-code-languages のビルド時のクラウド設定ミスを防止します

    • - Ansible のベストプラクティスチェッカです

    • - Puppet マニフェストがスタイルガイドに準拠していることをチェックします

    • - Terraform コード向けのセキュリティスキャナです

    • - クラウドネイティブインフラストラクチャをプロビジョニングする前に Infrastructure as Code 全体でコンプライアンスやセキュリティ違反を検出してリスクを軽減します

    • - プラグ可能な Terraform リンターです

    • - Docker, Kubernetes, Terraform, CloudFormation の設定上の問題を検出するビルトインポリシーを提供します。また、Conftest のように JSON, YAML などをスキャンする独自のポリシーを Rego に記述することもできます。

    • - Checkmarx の KICS を用いて Infrastructure-as-Code の開発サイクルの早い段階でセキュリティ脆弱性、コンプライアンス問題、インフラストラクチャ設定ミスを発見します。

OWASP ページ
CodeSec by Contrast Security
SonarQube
Brakeman
CodeQL
Veracode
security code scan
Enlightn
Inquisition
CodeSweep
こちら
HCL AppScan on Cloud
Semgrep
Checkmarx SAST
Fortify
PT Application Inspector
Checkov
ansible-lint
puppet-lint
tfsec
terrascan
tflint
Trivy
KICS