SAST

プログラムソースセキュリティ診断

Overview

プログラムソースコードセキュリティ診断サービス(SAST)は、隠れた脆弱性と欠陥を発見し、主要なセキュリティコントロールが実装されているかどうかを検証します。 弊社では、スキャンツールと手動レビューの組み合わせを使用して、安全でないコーディング手法、バックドア、インジェクションの欠陥、クロスサイトスクリプティングの欠陥、外部リソースの安全でない処理、脆弱な暗号化などを検出し、脅威モデリング、セキュリティリスクの軽減対策、脆弱性を修正するための修復ガイダンスを提供します。また、必要に応じて、ソフトウェア開発ライフサイクルレビュー、アプリケーションアーキテクチャレビューを行うこともできます。

なぜSAST

プロセス

準備

セキュリティコードレビューの最初のステップは、アプリケーションの徹底的な調査を実施した後、包括的なプログラムソースコードチェックリストを作成することです。

解析

私たちの専門家は、コードレビューアチェックリストを作成するためにコードレイアウトを研究し、コードの各行をレビューします。自動スキャンによる検証と、カスタム手動によるレビューが実行されるハイブリッドアプローチを使用します。コードレビューでは、認証、アクセス制御レベル、セッション管理、入力検証、エンコード、パラメーターの改ざん、例外とエラー処理、論理的な欠陥、構成と展開などをカバーしています。

レポート作成

この「信頼できないデータ(tainted data)」の分析結果は、プログラムのアーキテクチャの高レベルのグラフィカルな視覚化で表示できます。セキュリティコードのレビュープロセスでは、既存の欠陥を検証し、推奨事項を提供するレポートを生成します。 最終的なセキュリティコードレビューレポートの作成には、発見された脆弱性に関する詳細な証拠、およびそれらの修正に関する特定の推奨事項が含まれ、将来の開発のためのベストプラクティスを提示します。

サンプルレポート

テストサービスの詳細については、お問い合わせください。