シフトレフト実現を左右する「静的アプリケーション診断ツール」、3つの誤解とは：シフトレフト実現に役立つ

Mendは静的アプリケーションセキュリティ診断ツール（SAST）に関するよくある3つの誤解を解説した。シフトレフトを実現しようとする開発者を邪魔しないツールが望ましいという結論だ。

» 2022年07月29日 13時30分公開

[＠IT]

　アプリケーションセキュリティベンダーのMendは2022年7月14日（米国時間）、「SASTツールによるアプリケーションテストに関する3つの大きな神話」と題して、静的アプリケーションセキュリティ診断ツール（Static Application Security Testing：SAST）に関するよくある誤解を解説した。

　SASTはアプリケーションのソースコードを評価し、潜在的な脆弱（ぜいじゃく）性を検出するための主要な手法の一つだ。SASTは開発ライフサイクルの初期段階においてアプリケーションのセキュリティを強化し、セキュリティのシフトレフト実現において重要な役割を果たす。

　しかし、SASTツールの実装に関連する神話が数多く存在するという。Mendはそのうちの3つを紹介した。

神話1　全てのSASTツールが実行するテストはほぼ同じだ

　SASTツールがどれもほぼ同じテストを実行するというのはよくある誤解だ。主に2つの留意点がある。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

ゼロトラストをアプリ開発にも適用、オープンソース脆弱性管理はどうする？
アプリケーションセキュリティベンダーのMendが、アプリケーションセキュリティをゼロトラストで実現する6つのステップを解説した。セキュリティのシフトレフトを最初に進めるべきだが、ソフトウェア構成分析と静的アプリケーションセキュリティテストの組み合わせやソフトウェア部品表なども役立つという。
脆弱性を探し出す7つの主要コード検査ツールとは
Comparitech.comは公式ブログで、コード検査ツールに求められる機能を解説し、それらの機能をほぼカバーする主要な7製品を紹介した。いずれも幅広いプログラミング言語に対応し、部分的なコードであっても脆弱性を検知できるという。
企業のセキュリティ、リスクが高いのはネットワークよりもアプリケーション
WhiteSourceは調査会社のPonemon Instituteと協力して行ったエンタープライズアプリケーションのセキュリティリスク軽減に向けた調査結果を紹介した。セキュア開発ライフサイクルを徹底することと、開発チームとセキュリティチームの連携が重要だという。