Contrast Securityがサーバレスの脆弱性ツールを正式リリースした。AWS Lambdaに対応し、最小権限構成をはじめとしたチェックを行う。開発者がセルフサービスで利用できる。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Contrast Securityは2022年6月7日、 開発コードおよびサーバレス(FaaS)を対象とした脆弱性スキャンツール「Contrast CodeSec」を正式リリースした。Contrastの既存製品を使っているかどうかにかかわらず、無償で使える。
CodeSecは開発者がセルフサービスで使えるセキュリティツール。GitHubあるいはGoogleのIDで認証できる。
CodeSecには2つの機能がある。CodeSec - ScanはJava、JavaScript、.NETのコードをスキャンし、CodeSec-Serverlessはサーバレス(FaaS)をスキャンする。双方ともシンプルなコマンドラインインタフェースで推奨する対処方法が示される。
特にサーバレスのスキャンはユニークな機能だ。正式リリース前から日本国内の大手SI事業者2社、金融機関4社がテストあるいは正式導入で利用しているという。
一般に、サーバレスではインフラの管理が不要で、関数の実行は短時間に限られることから侵害を受けにくく、自動でスケールするためDoS攻撃にも強いと考えられている。そのためセキュリティ面での対策がおろそかになりがちだ。しかし、個々のサーバレス関数を通じ、これがアクセスしているクラウドリソースや、使用しているOSSライブラリが攻撃されるおそれがあると、Contrast Security Japanの梶原史雄氏は話す。
Copyright © ITmedia, Inc. All Rights Reserved.