静的アプリケーションセキュリティテスト (Static Application Security Testing, SAST)
概要
静的アプリケーションセキュリティテスト (Static Application Security Testing, SAST) は静的コード解析とも呼ばれ、アプリケーションのソースコードのセキュリティ脆弱性を探す自動セキュリティテストの一種です。
これは開発プロセスの潜在的なセキュリティ問題を早期に検出できるため、DevSecOps の重要な部分となっています。
ソースコードの脆弱性を明らかにすることで、開発者はアプリケーションがデプロイされる前にセキュアであることを確認できます。
さらに、SAST は開発時に見落とされていた可能性のあるコーディングエラーや不備を特定し、アプリケーションが期待通りに動作することを確保するのに役立ちます。
これにより、コードを手動でチェックするのに必要な時間と労力を削減し、アプリケーションが稼働する前にセキュリティ問題が対処されていることを確認できます。
レベル 0 - 静的コードセキュリティ解析を実施するためのツールがない
lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum
レベル 1 - オンデマンドスキャンを実行するツールを使用し、セキュアでないコードを特定している
lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum
レベル 2 - ビルドパイプラインにセキュリティ静的コード解析のスキャンツールを実装し、自動スキャンを実行し、ビルドのステータスをレポートしている
lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum
レベル 3 - 発見された内容が自動的に一元管理された課題追跡システムに記録されており、ツールの有効性を定期的にレビューしている
lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum
参考情報
Last updated