WhiteSource、静的アプリケーションセキュリティテスト（SAST）について解説：アプリケーションは外部からの攻撃における最大の原因

WhiteSourceは、静的アプリケーションセキュリティテスト（SAST）に関する解説記事を公式ブログで公開した。SASTの目的や仕組み、特徴、新世代製品のメリット、ツールの選び方、導入方法を解説している。

[＠IT]

　オープンソースセキュリティとライセンスコンプライアンス管理プラットフォームを手掛けるWhiteSourceは2022年2月15日（米国時間）、静的アプリケーションセキュリティテスト（SAST）に関する解説記事を公式ブログで公開した。SASTの目的や仕組み、特徴、新世代製品のメリット、ツールの選び方、導入方法を解説している。

静的アプリケーションセキュリティテスト（SAST）とは？

　SASTは、コンポーネントが静止しているときにソースコードを分析するホワイトボックステストだ。最も成熟したアプリケーションセキュリティテスト手法の一つとなっている。

　調査会社Forresterが先んじて発表したセキュリティ専門家に対する調査結果のレポート「State Of Application Security Report, 2021」によると、アプリケーションは依然として、外部からのセキュリティ侵害における最大の原因だ。2020年に発生した外部からの攻撃の3分の2以上が、Webアプリケーションを介したもの（39％）か、ソフトウェアの脆弱（ぜいじゃく）性を悪用したもの（30％）だった。

　SASTにより、開発者はカスタムソースコードのセキュリティ上の欠陥や弱点を検出できる。その目的は、要件や規制（PCI DSS《Payment Card Industry Data Security Standard》など）に準拠することや、自社のソフトウェアリスクをよりよく理解することにある。セキュリティ上の欠陥を理解することは、それらを修正し、ソフトウェアリスクを低減するための第一歩になる。

　SASTは通常、開発のコーディングとテストの段階で実装され、CI（継続的インテグレーション）サーバや、最近ではIDE（統合開発環境）に統合されている。

　SASTスキャンは、ソースコード内のコーディングエラーを定義した一連のルールに基づいて行われる。SQLインジェクション、入力検証、スタックバッファオーバーフローなど、一般的なセキュリティ脆弱性を特定するように設計することが可能だ。

SASTの主な特徴

　SASTは、適切に実行されれば、組織のアプリケーションセキュリティ戦略に不可欠なものになる。SASTをSDLC（ソフトウェア開発ライフサイクル）に統合することで、組織のセキュリティプロファイルを向上させることができる。

1．セキュリティのシフトレフト