コードスキャンとは何ですか?

すべてのソフトウェアとコードにはバグが含まれています。 これらのバグの中には、重要でないものやアプリケーションの機能にのみ影響するものもあれば、セキュリティに影響を与える可能性のあるものもあります。 これらの悪用される可能性のあるセキュリティの脆弱性を特定して修復することは、アプリケーションのセキュリティにとって不可欠です。

Code scanning は、アプリケーション内の潜在的なセキュリティ問題を特定するためのツールです。 本番環境に到達する前にアプリケーション内の脆弱性を特定するために、さまざまなコードスキャン手法が用意されており、これにより、セキュリティエラーによってもたらされるリスクと、それらを修復するためのコストと困難さが軽減されます。

無償評価版 ホワイトペーパーを読む(英語)

コードスキャンとは何ですか?

Code Scanning ツールボックス

開発者とセキュリティ チームには、code scanning を実行する際にいくつかのオプションがあります。 主な脆弱性検出方法には、次のようなものがあります。

 

  • 静解析: 静的アプリケーション・セキュリティ・テスト(SAST)は、アプリケーションのソース・コードに対して実行されます。 アプリケーション内の脆弱性を検出するには、実行状態のモデルを構築し、一般的な脆弱性 (信頼できないユーザー入力を SQL クエリへの入力として使用するなど) を作成するコード パターンに基づいてルールを適用します。
  • 動的解析: 動的アプリケーション・セキュリティ・テスト(DAST)は、既知の攻撃のライブラリとファザーを使用して、実行中のアプリケーションの脆弱性を検出します。 DASTは、アプリケーションに異常な入力や悪意のある入力をさらし、その応答を観察することで、アプリケーション内の脆弱性を特定できます。
  • 対話型分析: 対話式アプリケーション・セキュリティ・テスト(IAST)は、インスツルメンテーションを使用して、アプリケーションの入力、出力、および実行状態を可視化します。 実行時に、この可視性により、アプリケーション内の既知または新規の脆弱性の悪用を示す異常な動作を特定できます。
  • ソース組成分析: ほとんどのアプリケーションは、多数の外部ライブラリと依存関係に依存しています。 ソース構成分析 (SCA) は、アプリケーションの依存関係を識別し、アプリケーションのセキュリティーに影響を与える可能性のある既知の脆弱性がないかチェックします。

 

さまざまなクラスの脆弱性を特定しようとする場合、さまざまなセキュリティテスト方法に長所(または短所)があることを覚えておくことが重要です。 このため、ソフトウェア開発プロセス全体にいくつかのアプリケーション・セキュリティ・テスト手法とツールを適用して、本番コードに存在する脆弱性の数と影響を最小限に抑えることをお勧めします。

包括的な脆弱性の可視化の実現

どのようなソフトウェアにも、実装方法やデプロイメントの場所に関係なく、脆弱性が含まれている可能性があります。 包括的な脆弱性管理には、次のような幅広いデプロイメント環境でコード スキャンを実行する機能が必要です。

 

 

code scanning の有効性は、code scanning ツールで使用可能な情報にも依存します。 SASTツールとDASTツールは、主に既知のタイプの脆弱性や攻撃をスキャンするため、古いルールセットや不完全なルールセットで実行すると、偽陰性検出が発生し、アプリケーションが悪用されやすくなります。 このため、code scanning ツールは組織のセキュリティ インフラストラクチャに統合し、脅威インテリジェンス フィードを利用できる必要があります。

The Benefits of Check Point ServerlessCode Scanning

Check Point’s Serverless Code Scanning feature detects, alerts on and remediates security and compliance risks in a Serverless environment. Its code scanning functionality is powered by CodeQL – a powerful code analysis engine. Additionally, it incorporates multiple different code scanning methodologies to provide rapid and comprehensive vulnerability detection.

 

Code scanning is an essential component of an organization’s application security program and vital to regulatory compliance. Check Point Serverless Code Scanning provides a number of advantages, including:

 

  • 開発中の脆弱性検出: 本番環境での脆弱性の修正は、ソフトウェアパッチの開発と配布が複雑なため、コストと時間がかかります。 さらに、本番環境の脆弱性には悪用のリスクが伴います。 Code scanning を使用すると、本番環境にリリースする前に脆弱性を検出して修復できるため、脆弱性がもたらすサイバーセキュリティ リスクを排除できます。
  • Reduced False Positives and Errors: Check Point Serverless Code Scanning incorporates a range of application security testing solutions. This helps it to eliminate false positive detections, enabling developers and security teams to focus their efforts on remediating the true threats to application security.
  • Support Infrastructure Security: Check Point Serverless Code Scanning tests all of the code within an application, including potentially vulnerable dependencies. This helps to ensure the security of an organization’s applications and digital infrastructure.
  • Actionable Insights: By default, Check Point Code Scanning only runs the actionable security rules when performing its analysis. This reduces alert volume and eliminates noise, enabling developers to focus on the task at hand.
  • Elasticity: Built on the open SARIF standard, Check Point Serverless Code Scanning is extensible so you can include open source and commercial static application security testing (SAST) solutions within the same cloud native solution. It can also be integrated with third-party scanning engines to view results from other security tools in a single interface and to export multiple scan results through a single API.

 

Kubernetesとコンテナ化されたアプリケーションのセキュリティ保護の詳細については、 このガイドをダウンロードしてください。 また、チェック・ポイントのクラウドセキュリティソリューションの デモをリクエスト して、アプリケーションの脆弱性とサイバーセキュリティリスクを最小限に抑える方法を確認することもできます。