GitHubが比較した2つのセキュリティテストツール、それぞれいつ誰が使う？：ソフトウェア構成分析と静的アプリケーションセキュリティテスト

GitHubは開発者がよく使用するセキュリティツールのうち、SCAツールとSASTツールを取り上げ、それぞれの機能を説明するとともに、GitHubが提供する独自のSCAツールとSASTツールを紹介した。

[＠IT]

　GitHubは2022年9月9日（米国時間）、開発者が開発時によく使用するセキュリティツールのうち、ソフトウェア構成分析（SCA）ツールと静的アプリケーションセキュリティテスト（SAST）ツールを取り上げ、それぞれの機能を説明するとともに、GitHubが提供するSCAツール「Dependabot」と、SASTツール「コードスキャン機能」を紹介した。

　SCAツールとSASTツールは、いずれも開発者が自らコードのセキュリティを確保するために使用できるアプリケーションセキュリティテストツールだ。

　これらのツールが普及する以前は、開発がほぼ終了した段階で、開発者とは別のセキュリティ専門家がリリース直前のコードをテストしていた。この方法は手戻りが多く、開発時間が長く、開発コストも高くなる。

　だが、最近ではSCAツールやSASTツールなどの普及によって、開発者がコードを記述した直後に、より効率的で低コストな手段でコードの安全性を保つことが可能になっている。

SCAツールとは

　組織内のコードベースにある全てのオープンソースコンポーネントのセキュリティ状態を検知、管理する際に、SCAツールが役立つ。