SecurityPrism
ソースコードセキュリティ脆弱性診断
SecurityPrism®は開発の初期段階でアプリケーションの安全性を確保するためのセキュリティ脆弱性診断ソリューションです。開発者とQA(品質保証)組織が、ハッカーから攻撃されやすいプログラミングパターンを避けられるようにします。企業はアプリケーションセキュリティの問題に事前に対応でき、ビジネスリスクを減らせます。
概要
SecurityPrism®は定義済みのセキュリティ脆弱性ルールに基づいてソースコードを自動的に診断します。コンパイラの環境を設定したりプログラムを実行したりしなくてもセキュリティ脆弱性ルールを違反したソースコードの箇所を正確に検出します。
QA(品質保証)チームは中央サーバーでソースコードのセキュリティ脆弱性を一括診断でき、開発者は自分のパソコンで中央サーバーと通信しながらソースコードのセキュリティ脆弱性を自ら診断できます。
特長
セキュリティ検出脆弱性特許技術 | SecurityPrism®では特許技術であるソフトウェアセキュリティ脆弱性ルール記述言語(Rule Description Language For Software Vulnerability Detection)及びクラスタベースプログラム解析方法とその装置(Program Analysis Method Based on Cluster and Apparatus)を採用しています。 |
使用の利便性 | 他のソリューションとは違ってSecurityPrismはコンパイラの設定などの複雑な環境が必要なく、ソースファイルさえあれば診断が可能です。 |
円滑な統合 | SecurityPrismはGTOneの他のアプリケーションガバナンスソリューションと同じテクノロジープラットフォームを使用しています。これは静的解釈の結果を単一の環境下で多次元的に活用(影響分析、コード品質及びセキュリティ脆弱性)できることを意味します。 |
CWEコンプライアンス | SecurityPrism®に搭載されている高級静的分析エンジンを用いることでCWEによって公表された150種類以上のソースコードセキュリティ脆弱性を検出することができます。 ジーティーワンのSecurityPrism®は、すでにCWE交換性認証においても取得済、CWEコンプライアンス活動をサポートできる静的分析ツールです。 CWEとは、ソフトウェアの共通脆弱性タイプ一覧のこと。SecurityPrism®でサポートするCWE脆弱性一覧とCWE IDマッピング関係については、こちらをご覧ください。 |
主な機能
セキュリティ脆弱性パターン | CWE、OWASPなどの国際基準に基づいたセキュリティ脆弱性パターンのDBを提供します。 |
安全なコーディングガイド | 安全なコーディングのサンプルとセキュリティ脆弱性コーディングのサンプルが提供されますので、問題箇所をどのように修正できるかに関する情報が得られます。 |
ソースコードセキュリティ脆弱性の検出 | セキュリティ脆弱性ルールを違反したソースコードを検出し、該当ソースコードの箇所にドリルダウンできます。 |
ルールの自動更新 | 中央サーバーでルールを管理し、開発者向けルールの自動アップデートができます。 |
ルール定義言語 | 高級スクリプト言語を利用し、新規ルールが生成できます。 |
※ COBOL、Java/JSP(Eclipse plug-in)、C などの多様な言語に対応します。
期待効果
セキュリティリスクの減少 | ガートナーのレポート(The Ratio of Hacking and Security Incident)によると、ハッカーによる攻撃の75%はネットワークやサーバーのレベルではなく、アプリケーションに対する攻撃であるとしています。 米国防総省の研究資料によると、セキュリティに脆弱な箇所はソースコード1,000行当たりに1箇所の割合で存在するとのことです。 セキュリティ侵害事故によって発生する対応費用は想像を超えたものであり、この莫大な費用を節減するためには開発の初期段階からセキュリティ脆弱性に備える必要があります。 |
費用節減 | 目視によるソースコード診断には経験豊富なセキュリティ専門家が必要となり、また多くの時間がかかります。 SecurityPrismは安全なコーディングガイドのサンプルとセキュリティ脆弱性ソースコードの自動検出により、時間と費用を節減します。 |
Customers
- more...