既存IDEのプラグインとして動作するセキュアコーディングツールに新版:セキュリティ面の「コードチェッカー」
アスタリスク・リサーチは2015年11月18日、EclipseやVisualStudioのプラグインとして動作し、セキュアなソフトウエア開発を支援するツールの最新版「SecureAssist 2.5」をリリースした。
アスタリスク・リサーチは2015年11月18日、セキュアなソフトウエア開発を支援するツールの最新版「SecureAssist 2.5」をリリースした。
SecureAssistは、「Eclipse」や「VisualStudio」などの統合開発環境(IDE)のプラグインとして動作し、コーディング作業中にリアルタイムで脆弱(ぜいじゃく)性につながる恐れのある個所を指摘し、具体的な修正案を示す。例えば、入出力チェックやデータの取り扱い、設定の不備の他、最近セキュリティリスクとして注目されつつある弱い暗号関数の利用など、200以上の項目をリアルタイムに検証し、修正を促す。
一般にソフトウエアの修正コストは後になればなるほど大きくなる。設計段階であれば簡単な修正で済むものが、最終テストで問題を見つけたり、リリース後にパッチの形で修正を余儀なくされると、手間、工数ともに大きな負担となる。SecureAssistはこうした問題を未然に防止すべく、コーディングしている最中に脆弱性を指摘し、安全なソフトウエアをリリースできるよう支援するツールで、Java、.NET、PHPを用いた開発に対応している。アスタリスク・リサーチが提携を結んでいる米シジタルグループのセキュリティ企業、コーディスコープが開発したもので、同社はこのツールを、セキュリティ面での「コードチェッカー」と表現している。
SecureAssistを利用することで、ソフトウエアの品質向上をセキュリティ面から支援し、リリース後の手戻りを減らすとともに、開発者に「どんな記述が望ましいのか」「どういった部分に脆弱性が作り込まれやすいか」といった学習効果ももたらす。
新バージョンのSecureAssist 2.5では、新たな開発環境として「IntelliJ IDEA 14」をサポートした他、Eclipseでのソースコードスキャンの高速化を図った。
SecureAssistのライセンス価格は、20名の開発チームの場合、開発者一人当たり年間4万円程度となる。アスタリスク・リサーチは新バージョンのリリースと同時に、30日間無料で試用可能な機能検証版の提供も開始している。
関連記事
- なぜ、いま「セキュアコーディング」なのか?
- C/C++セキュアコーディングの講演資料、JPCERT/CCが公開
- OWASP Japan、Webアプリの一般的なセキュリティ要件をまとめた文書公開
- Webアプリケーションを作る前に知るべき10の脆弱性
- “セキュアなWebアプリ”に立ちはだかる課題
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。