WhiteSource、静的アプリケーションセキュリティテスト(SAST)について解説:アプリケーションは外部からの攻撃における最大の原因
WhiteSourceは、静的アプリケーションセキュリティテスト(SAST)に関する解説記事を公式ブログで公開した。SASTの目的や仕組み、特徴、新世代製品のメリット、ツールの選び方、導入方法を解説している。
オープンソースセキュリティとライセンスコンプライアンス管理プラットフォームを手掛けるWhiteSourceは2022年2月15日(米国時間)、静的アプリケーションセキュリティテスト(SAST)に関する解説記事を公式ブログで公開した。SASTの目的や仕組み、特徴、新世代製品のメリット、ツールの選び方、導入方法を解説している。
静的アプリケーションセキュリティテスト(SAST)とは?
SASTは、コンポーネントが静止しているときにソースコードを分析するホワイトボックステストだ。最も成熟したアプリケーションセキュリティテスト手法の一つとなっている。
調査会社Forresterが先んじて発表したセキュリティ専門家に対する調査結果のレポート「State Of Application Security Report, 2021」によると、アプリケーションは依然として、外部からのセキュリティ侵害における最大の原因だ。2020年に発生した外部からの攻撃の3分の2以上が、Webアプリケーションを介したもの(39%)か、ソフトウェアの脆弱(ぜいじゃく)性を悪用したもの(30%)だった。
SASTにより、開発者はカスタムソースコードのセキュリティ上の欠陥や弱点を検出できる。その目的は、要件や規制(PCI DSS《Payment Card Industry Data Security Standard》など)に準拠することや、自社のソフトウェアリスクをよりよく理解することにある。セキュリティ上の欠陥を理解することは、それらを修正し、ソフトウェアリスクを低減するための第一歩になる。
SASTは通常、開発のコーディングとテストの段階で実装され、CI(継続的インテグレーション)サーバや、最近ではIDE(統合開発環境)に統合されている。
SASTスキャンは、ソースコード内のコーディングエラーを定義した一連のルールに基づいて行われる。SQLインジェクション、入力検証、スタックバッファオーバーフローなど、一般的なセキュリティ脆弱性を特定するように設計することが可能だ。
SASTの主な特徴
SASTは、適切に実行されれば、組織のアプリケーションセキュリティ戦略に不可欠なものになる。SASTをSDLC(ソフトウェア開発ライフサイクル)に統合することで、組織のセキュリティプロファイルを向上させることができる。
1.セキュリティのシフトレフト
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「GAFAM」から学ぶ、自動テスト手法――アジャイル開発で単体テストの“確からしさ”を検証する、ミューテーションテストとは
海外の先進的企業の事例を基にテスト自動化に使われる手法を解説する本連載。第1回は、アジャイル開発において単体テストを検証する「ミューテーションテスト」について。
「テストしないものはリリースしない」が合言葉 東京都が「ユーザーテストガイドライン」を公開
東京都は、「ユーザーテストガイドライン」を公開した。都庁の職員に向けて、ユーザーテストを実施する上で必要な準備や実施方法などの方針を示したもの。「テストしないものはリリースしない」を合言葉に、ユーザーテストの実践を徹底するという。
バルテスが「ソフトウェアテスト効率化カオスマップ」を公開
バルテスは「ソフトウェアテスト効率化カオスマップ」を公開した。ソフトウェアテスト関連サービスを提供する事業者や、自動化などのツール類を「テストベンダー」「テスト自動化ツール」「テスト管理ツール」など7分野に分類した。