東陽テクニカは、容易に脆弱性診断が実施でき、セキュリティ問題の検出・対策の第一歩を踏み出すことができるように、2016年7月から販売している「Checkmarx CxSAST」を利用した脆弱性診断を、クラウドサービスという形で提供するという。
定期的に「Checkmarx CxSAST」によるセキュリティ監査が要求されるForce.comプラットフォーム用ソースコードの開発者も、ソースコードのボリュームや解析回数を気にすることなく、いつでも手軽に利用できるようになる。安全なソフトウェアの開発を効率的に行えるだけでなく、セキュリティリスクの低減に必要なコストや労力の削減に寄与するとしている。
■ソースコードの脆弱性診断
ソースコードの脆弱性診断手法の現在の主流は、ソースコードをコンパイル後/ビルド後のアプリケーションの脆弱性解析を外部に依頼し、その結果をレポートとして受けるものだ。しかし、この方法はアプリケーションの内部を網羅的に解析するわけではないため、検出できる脆弱性が限られてしまう。また、開発途中ではなく完成間近のアプリケーションの脆弱性解析を依頼することになるため、脆弱性をタイムリーかつ最適な方法で修正することができず、コストの増大や製品リリースの遅れにつながる恐れがあるという。
東陽テクニカでは、現在主流の脆弱性診断手法を補完する手段として、作成したソースコードの安全性を開発初期段階から把握し、さらに修正による手戻りコストを削減するために、コンパイル前/ビルド前のソースコード自体の解析を行うことが重要だとしている。
そのため、脆弱性静的解析プラットフォーム「Checkmarx CxSAST」を利用した脆弱性診断のクラウドサービス「Cxクラウド」を、主に、外部委託だけに頼らない脆弱性診断に興味を持つ開発者、Force.comプラットフォーム用ソースコードを大量に解析する必要がある場合、さらには脆弱性診断の第一歩を踏み出すうえで悩んでいる開発者に向けて提供するという。
■「Checkmarx CxSAST」とは
「Checkmarx CxSAST」は、ソースコードに潜む脆弱性を検出し可視化することで、安心・安全なソフトウェアの開発を支援する脆弱性診断プラットフォームで、ソフトウェア開発の効率化やセキュリティリスクの低減に必要なコストと労力の削減に寄与する。
解析対象のプログラミング言語は20言語と幅広いため、業界を問わず利用でき、コンパイル前/ビルド前の状態で解析ができるため、開発者は作成したソースコードの安全性を開発初期段階から把握でき、脆弱性の修正による手戻りコストの大幅な削減が可能だ。
また、解析項目を細かくカスタマイズして、解析結果の偽陽性・偽陰性を最小限に抑えることができる点も大きなメリットになる。さらに、脆弱性の特定だけでなく、最適な修正ポイントの候補が明示されるため、セキュリティに関する高度な専門知識がなくとも、どこから修正を行うべきか容易に判断することができるという。
■対応20言語
Java、JavaScript、VB.NET、C#、VB6、PHP、C/C++、Objective C、Swift、Ruby、VBScript、Perl、HTML5、Python、Groovy、Apex(Visual Force)、ASP、Scala、PL/SQL、Go
■「Checkmarx CxSAST」の主な特徴
- Apex言語やGo言語を含む20のプログラミング言語とスクリプト言語に対応
- SpringやNode.js+Expressを含む、一般的に普及しているフレームワークに対応
- コンパイル前/ビルド前のソースコード自体の解析が可能
- 最適な修正ポイントの候補を提案
- PCI-DSSやCWEなどのセキュリティに関するガイドラインにも対応
