SecureAssistの特徴


問題を発見するだけではなく、修正するためのツール

screenshotSecureAssistは、開発コードに対するスペルチェッカーのような働きをしますので、発見するだけでなく、修正も迅速に行えます。優れたセキュリティ・トレーニングツールであるとも言えます。このツールは、よくあるアプリケーション脆弱性の潜む部分をハイライトし、実践的なガイドを表示します。それで、開発者の開発用デスクトップから手が離れてしまう前に、それらの問題を解決することが可能になります。

IDEに追加されるSecureAssistのVIEW

  • Project View(レビューの結果、セキュリティリスク High – Mid – Low別に、問題となるコードの行までハイライト)
  • Call Chain (問題となる値の取り扱いを概観)
  • Guidance(問題のジャンル、詳細、ありがちな問題のコードパターン、修正のためのアイデア、サンプルコード、資料へのリンク)

これらは、Eclipse、VisualStudioで、ビューを表示させる機能により配置できます。

脆弱性検出ルール・テスト項目概要

SecureAssistは極めて軽量なIDEプラグイン方式のコードチェッカーですが、200以上のテスト項目による自動レビューを行います。OWASP Top 10/2010, 2013CWE/SANS Top 25にも対応しています。このリストは、SecureAssistのルールパックからの抜粋です。ルールパックは定期的に更新され、開発チームが新しいリスクに対応する助けになります。また、チームごとにオリジナルのルールパックを設定することができます。

SecureAssistのテスト分類
入力値検証/出力値エンコーディング 安全なデータの取り扱い 適切なコーディング手法
  • クロスサイトスクリプティング *
  • SQLインジェクション *
  • Pathマニピュレーション *
  • DoS攻撃
  • ファイル入出力
  • 未検証のユーザ入力 *
  • 安全でないデータの保存 *
  • 機微情報の漏洩
  • 貧弱な暗号の利用 *
  • 信頼境界の違反
  • 未検証のリダイレクトや転送
  • スレッドAPI
  • Struts設定の不備 *
  • 不適切なエラー処理
  • ログの取り扱い
  • クッキーのセキュリティ *
  • リソースの取り扱い

統合開発環境(IDE)のプラグイン

開発者の「仕事場」、まさにそこで動作します。開発者向けガイダンスも、その中に表示されます。特に難しいセキュリティワークフローは求められません。仕事中に必要なときに、自動的なスキャンが可能です。

利用イメージ(YouTube動画)

 

 

開発チーム自身でセキュア開発を可能に

軽量な静的解析とトレーニングは、組織の目標に合致します。

SecureAssistは、開発者自身にセキュリティ脆弱性について自分のコードをスキャンできるようにしてやることが、開発チーム全体が、いかにアプリケーション全体の価値を俯瞰的に見ることができるよう助けになるかを強調するツールです。

開発者が、コードのコミットやチェックインする前にコードに起因する問題を解決できれば、御社のセキュリティ・チームや品質管理を行うメンバーは、より重要な問題の検討に十分の時間をあてることができます。

カスタマイズ可能なルールセット

共通の脆弱性検出ルールを作ることができます。組織のコーディングルール、ガイドラインを実際的なものとし、標準化し、設定を改善していくことができます。

プロジェクト・レポート

IDEユーザの管理、ルールセットの管理は、社内に構築するEnterprise Portalを用います。セキュリティプログラムの効果性は、利用統計とレポートで見ることができます。

ルールセット・パッケージは定期的に更新

サブスクリプション形式となっていますので、新しい問題の検出は更新されていきます。また、ライセンス有効期間内の新しいバージョンへの更新が可能なので、機能追加や情報追加のメリットも受けられます。