GitHubが比較した2つのセキュリティテストツール、それぞれいつ誰が使う？：ソフトウェア構成分析と静的アプリケーションセキュリティテスト

GitHubは開発者がよく使用するセキュリティツールのうち、SCAツールとSASTツールを取り上げ、それぞれの機能を説明するとともに、GitHubが提供する独自のSCAツールとSASTツールを紹介した。

» 2022年09月13日 13時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　GitHubは2022年9月9日（米国時間）、開発者が開発時によく使用するセキュリティツールのうち、ソフトウェア構成分析（SCA）ツールと静的アプリケーションセキュリティテスト（SAST）ツールを取り上げ、それぞれの機能を説明するとともに、GitHubが提供するSCAツール「Dependabot」と、SASTツール「コードスキャン機能」を紹介した。

　SCAツールとSASTツールは、いずれも開発者が自らコードのセキュリティを確保するために使用できるアプリケーションセキュリティテストツールだ。

　これらのツールが普及する以前は、開発がほぼ終了した段階で、開発者とは別のセキュリティ専門家がリリース直前のコードをテストしていた。この方法は手戻りが多く、開発時間が長く、開発コストも高くなる。

　だが、最近ではSCAツールやSASTツールなどの普及によって、開発者がコードを記述した直後に、より効率的で低コストな手段でコードの安全性を保つことが可能になっている。

SCAツールとは

　組織内のコードベースにある全てのオープンソースコンポーネントのセキュリティ状態を検知、管理する際に、SCAツールが役立つ。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

WhiteSource、静的アプリケーションセキュリティテスト（SAST）について解説
WhiteSourceは、静的アプリケーションセキュリティテスト（SAST）に関する解説記事を公式ブログで公開した。SASTの目的や仕組み、特徴、新世代製品のメリット、ツールの選び方、導入方法を解説している。
Dev、Sec、Opsでの責任共有の推進は47％が未実施も前進――企業のOSSセキュリティに関するSnykレポート
セキュリティ企業のSnykは、オープンソースソフトウェアのセキュリティ状況に関する年次レポートの最新版「State of Open Source Security Report 2020」を公開した。
企業のセキュリティ、リスクが高いのはネットワークよりもアプリケーション
WhiteSourceは調査会社のPonemon Instituteと協力して行ったエンタープライズアプリケーションのセキュリティリスク軽減に向けた調査結果を紹介した。セキュア開発ライフサイクルを徹底することと、開発チームとセキュリティチームの連携が重要だという。