What is Code Scanning?

すべてのソフトウェアとコードにはバグが含まれています。 これらのバグの中には、重要でないものやアプリケーションの機能にのみ影響するものもあれば、セキュリティに影響を与える可能性のあるものもあります。 これらの悪用される可能性のあるセキュリティの脆弱性を特定して修復することは、アプリケーションのセキュリティにとって不可欠です。

Code scanning は、アプリケーション内の潜在的なセキュリティ問題を特定するためのツールです。 本番環境に到達する前にアプリケーション内の脆弱性を特定するために、さまざまなコードスキャン手法が用意されており、これにより、セキュリティエラーによってもたらされるリスクと、それらを修復するためのコストと困難さが軽減されます。

無償評価版 ホワイトペーパーを読む(英語)

What is Code Scanning?

Code Scanning ツールボックス

開発者とセキュリティ チームには、code scanning を実行する際にいくつかのオプションがあります。 主な脆弱性検出方法には、次のようなものがあります。

 

  • 静解析: 静的アプリケーション・セキュリティ・テスト(SAST)は、アプリケーションのソース・コードに対して実行されます。 アプリケーション内の脆弱性を検出するには、実行状態のモデルを構築し、一般的な脆弱性 (信頼できないユーザー入力を SQL クエリへの入力として使用するなど) を作成するコード パターンに基づいてルールを適用します。
  • 動的解析: 動的アプリケーション・セキュリティ・テスト(DAST)は、既知の攻撃のライブラリとファザーを使用して、実行中のアプリケーションの脆弱性を検出します。 DASTは、アプリケーションに異常な入力や悪意のある入力をさらし、その応答を観察することで、アプリケーション内の脆弱性を特定できます。
  • 対話型分析: 対話式アプリケーション・セキュリティ・テスト(IAST)は、インスツルメンテーションを使用して、アプリケーションの入力、出力、および実行状態を可視化します。 実行時に、この可視性により、アプリケーション内の既知または新規の脆弱性の悪用を示す異常な動作を特定できます。
  • ソース組成分析: ほとんどのアプリケーションは、多数の外部ライブラリと依存関係に依存しています。 ソース構成分析 (SCA) は、アプリケーションの依存関係を識別し、アプリケーションのセキュリティーに影響を与える可能性のある既知の脆弱性がないかチェックします。

 

さまざまなクラスの脆弱性を特定しようとする場合、さまざまなセキュリティテスト方法に長所(または短所)があることを覚えておくことが重要です。 このため、ソフトウェア開発プロセス全体にいくつかのアプリケーション・セキュリティ・テスト手法とツールを適用して、本番コードに存在する脆弱性の数と影響を最小限に抑えることをお勧めします。

包括的な脆弱性の可視化の実現

どのようなソフトウェアにも、実装方法やデプロイメントの場所に関係なく、脆弱性が含まれている可能性があります。 包括的な脆弱性管理には、次のような幅広いデプロイメント環境でコード スキャンを実行する機能が必要です。

 

 

code scanning の有効性は、code scanning ツールで使用可能な情報にも依存します。 SASTツールとDASTツールは、主に既知のタイプの脆弱性や攻撃をスキャンするため、古いルールセットや不完全なルールセットで実行すると、偽陰性検出が発生し、アプリケーションが悪用されやすくなります。 このため、code scanning ツールは組織のセキュリティ インフラストラクチャに統合し、脅威インテリジェンス フィードを利用できる必要があります。

CloudGuard ServerlessCode Scanningの利点

CloudGuardのサーバーレスコードスキャン機能は、サーバーレス 環境におけるセキュリティとコンプライアンスのリスクを検出、アラート、修復します。 そのコードスキャン機能は、強力なコード分析エンジンであるCodeQLを搭載しています。 さらに、複数の異なるコードスキャン手法を組み込んで、迅速かつ包括的な脆弱性検出を提供します。

 

コードスキャンは、組織のアプリケーションセキュリティプログラムに不可欠なコンポーネントであり、 規制コンプライアンスに不可欠です。 CloudGuard Serverless Code Scanningには、次のような多くの利点があります。

 

  • 開発中の脆弱性検出: 本番環境での脆弱性の修正は、ソフトウェアパッチの開発と配布が複雑なため、コストと時間がかかります。 さらに、本番環境の脆弱性には悪用のリスクが伴います。 Code scanning を使用すると、本番環境にリリースする前に脆弱性を検出して修復できるため、脆弱性がもたらすサイバーセキュリティ リスクを排除できます。
  • 誤検知とエラーの削減: CloudGuard Serverless Code Scanningには、さまざまなアプリケーションセキュリティテストソリューションが組み込まれています。 これにより、誤検知を排除し、開発者やセキュリティチームは、アプリケーションセキュリティに対する真の脅威の修復に集中できます。
  • インフラストラクチャのセキュリティをサポートします。 CloudGuard Serverless Code Scanningは、潜在的に脆弱な依存関係を含む、アプリケーション内のすべてのコードをテストします。 これにより、組織のアプリケーションとデジタルインフラストラクチャのセキュリティを確保できます。
  • 実用的なインサイト: デフォルトでは、CloudGuard Code Scanningは、分析の実行時に実行可能なセキュリティ・ルールのみを実行します。 これにより、アラートの量が減り、ノイズが排除されるため、開発者は目の前のタスクに集中できます。
  • 弾性: オープンSARIF標準に基づいて構築されたCloudGuard Serverless Code Scanningは拡張可能であるため、オープンソースと商用の静的アプリケーション・セキュリティ・テスト(SAST)ソリューションを同じクラウド・ネイティブ・ソリューションに含めることができます。 また、サードパーティのスキャンエンジンと統合して、他のセキュリティツールの結果を単一のインターフェイスで表示したり、単一のAPIを介して複数のスキャン結果をエクスポートしたりすることもできます。

 

Kubernetesとコンテナ化されたアプリケーションのセキュリティ保護の詳細については、 このガイドをダウンロードしてください。 また、チェック・ポイントのクラウドセキュリティソリューションの デモをリクエスト して、アプリケーションの脆弱性とサイバーセキュリティリスクを最小限に抑える方法を確認することもできます。

×
  フィードバック
このWebサイトは、機能性と分析およびマーケティングの目的でCookieを使用しています。Webサイトを引き続きご利用いただくことで、Cookieの使用に同意したことになります。詳細については、Cookieに関する通知をお読みください。
OK