Wiz
2023 年クラウド脆弱性レポート

脆弱性に対するコードを強化するための迅速な推奨事項を解き放ちます。 このクイック リファレンス ガイドには、開発者が一般的なセキュリティの落とし穴を回避し、回復力のあるアプリケーションを構築するのに役立つ実用的な分析情報が満載です。

チートシートをダウンロード無料体験版を入手
すべての記事

静的アプリケーションセキュリティテスト(SAST)の説明

静的アプリケーションセキュリティテスト(SAST)は、ソフトウェアがデプロイまたは実行される前に、アプリケーションのソースコード、バイトコード、またはバイナリコードのセキュリティの脆弱性を特定する方法です。 

Ziad Ghalleb
8 分で読めます

SASTとは?

静的アプリケーションセキュリティテスト(SAST) は、アプリケーションのセキュリティの脆弱性を特定する方法です'のソースコード、バイトコード、またはバイナリコードを使用して、ソフトウェアをデプロイまたは実行することができます。 

SASTは、外部からアプリケーションと対話するのではなく、アプリケーションのソースコードを調べて疑わしいセクションをスキャンする、重要なホワイトボックステスト方法です。 セキュリティの脆弱性の巨大なデータベースがSASTツールを支えているため、セキュリティギャップにつながる可能性のある一般的なプログラミングミスを見つけるために最適化されています。 実行中のプログラムではなく静的アセットをチェックするすべてのセキュリティスキャナは、SASTツールと見なすことができます。 

ただし、SASTはコード行のスキャンに限定されません。SASTツールには、特定のプログラミング言語をスキャンできるものもあれば、バイナリ内のバイトコードやアセンブリコードもスキャンできるものもあります。 外部エンティティ攻撃のためにXMLファイルをスキャンするSASTツールさえあります。

もう一つの利点は? SASTは、開発チームとセキュリティチームが緊密に連携できるようにすることで、コードが安全な方法で実装され、後で書き直す必要が少なくなります。 

静的アプリケーション・セキュリティ・テストは、すべての組織のソフトウェア開発ライフサイクルの一部であるべきです。 SASTの詳細を詳しく見て、その理由を見てみましょう。

The Secure Coding Best Practices [Cheat Sheet]

With curated insights and easy-to-follow code snippets, this 11-page cheat sheet simplifies complex security concepts, empowering every developer to build secure, reliable applications.

Download Cheat Sheet

SASTはどのように機能しますか?

SAST ユーティリティは、通常、セキュリティ脆弱性のローカルまたはリモートリストを使用する CLI ツールまたは IDE 拡張機能です。 彼らはソースコードやその他のソフトウェアアーティファクトを読み取り、それをこれらのリストと比較します。 IDEの統合により、SASTツールは、開発者がコードを書いたときにすぐにコードをチェックし、すぐにフィードバックを提供できます。 CLI ではバージョン管理との統合が可能なため、スキャンはコミットまたはプッシュの前に自動的に実行されます。

最良のシナリオでは、SASTユーティリティによって検出された問題は、その開始時に解決でき、最悪の場合、バージョン管理に入る前に解決できます。 図 1 は、SAST ツールがセキュリティの問題を開発者に通知する方法を示しています。

Figure 1: SAST inside an IDE

脆弱性リストは常に更新されるため (また、多くの組織では、ソフトウェアを既にリリースした後に開発プロセスに SAST を追加するため)、SAST を CI/CD パイプライン. 簡単に言うと、CI/CD パイプラインの一部として、SAST は最近特定されたセキュリティ問題について既存のコードをチェックできます。

SASTとDASTの違いは何ですか?

動的アプリケーションセキュリティテスト(DAST)は、アプリケーションをスキャンしないブラックボックステスト方法です'のコードですが、既知の攻撃ベクトルを使用してソフトウェアを実行しようとします。 DASTは、既知のエクスプロイトを含むリクエストを送信してHTTPサーバーに対して脆弱かどうかを確認することができますが、コードを読み取らないため、サーバーの実装に使用されたプログラミング言語は気にしません。 DASTは通常、SASTよりも低速ですが、DDoS攻撃に対する感受性、内部データの露出、サードパーティサービスの問題など、SASTでは検出できないアプリケーションの脆弱性も検出できます。 

Figure 2: SAST compared with DAST

つまり、SASTはソースコード、マークアップ、バイトコード、バイナリなどのソフトウェア資産をスキャンして一般的なパターンを検出し、DASTはアプリケーションを実行して一般的な攻撃を実行しようとします。 インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)を使用すると、DASTメソッドが実行されたコードに直接リンクされるハイブリッド・アプローチを取ることができます。

Wizアカデミー

SAST vs. DAST: What’s the difference?

もっと読む

SASTの利点と制限は何ですか?

DASTの機能を調べたところ、すでにそれが示唆されているかもしれませんが、SASTは完璧ではありません。 SASTには長所と短所があるため、どの方法を統合するかを決定する前に、詳しく調べることが重要です。

SASTの利点

SASTの主な利点は次のとおりです 早期発見. 何よりもまず、セキュリティの脆弱性がコードベースで費やす時間が少なければ少ないほど、潜在的な攻撃者がそれを悪用する時間は少なくなります。 また、セキュリティの問題が早く発見されるほど、修正が容易になります。 開発者が数か月または数年前に書いたソフトウェアを修正するのははるかに難しく、コードを書いたエンジニアがもう会社にいないこともあります。 だからこそ、'は、実装にできるだけ近いフィードバックを時間に収めることが最も重要です。

実装時に迅速なフィードバックを得ることは、新しいセキュリティ問題について学ぶ機会が必要なソフトウェア開発チームのメンバーを教育するのにも役立ちます。 これがSASTの強みです。 安全でないコードを書く開発者は、 即時セキュリティアラート 彼らが達成しようとしているタスクにまだ没頭している間、知識の保持率が大幅に向上します。 それは専門的なトレーニングと仕事を同時に行うと考えてください。

SASTも役立ちます 組織全体のコンプライアンスと基準を強化これは、すべてのエンジニアがまだ知っているわけではない新しいポリシーや、実装するエンジニアにとって有益ではないと思われる標準、つまり時間を節約するためにスキップする可能性のある標準に特に役立ちます。 SASTのガードレールを使用すると、セキュリティのベストプラクティスが常に守られているという安心感が得られます。

SASTの制限事項

SASTの主な欠点は、 誤検出. SASTは非常に熱心なスキャン方法であり、コードのみを調べ、本番環境でどのようにデプロイされているかは調べません。 公開ソーシャルメディアサイトのWebサーバーには、デスクトップアプリケーションとは異なる脅威モデルがあります。 ツールの洗練度によっては、これらの誤検知をフィルタリングすることがエンジニアにとって面倒な作業になる可能性があります。 彼らが圧倒されると、ツールを完全にオフにするかもしれません。 

これまで見てきたように、別の欠点は、SASTがアプリケーションを実行しないことです。 ランタイムの脆弱性をキャッチしない. システムが毎分100万件のリクエストを受け取るのか、100万件のリクエストを受け取るのかはわかりませんし、機密情報と公開情報を区別することもできません。 これらの問題が心配な場合は、代わりに DAST ツールを使用してください。

最後に、SASTツールを追加します 継続的なメンテナンスへのコミットメントが必要. 脆弱性リストを常に更新し、新しい情報で SAST スキャンを再実行する必要があります。そうしないと、最新のセキュリティ問題を見逃す可能性があります。 リスクは高い:脆弱性が新しいほど、脅威アクターがそれを悪用する可能性が高くなります。 

Wizアカデミー

What is SecDevOps? + How It Differs From DevSecOps

もっと読む

最も人気のあるオープンソースのSASTツールは何ですか?

開発プロセスにセキュリティツールを追加し始めたばかりの場合は、オープンソースのSASTツールを確認する必要があります。 手入れが行き届いていて、無料で使用できる人気のあるオプションがあり、エントリーポイントとして最適です。

ToolsDescription
SemgrepThe most popular open-source SAST tool is Semgrep, a SAST scanner focused on scanning speed. It boasts an impressive list of supported languages, including C#, Java, and JavaScript. Semgrep also has supply chain security features, meaning you’re notified about vulnerabilities in your third-party dependencies.
SonarQubeThe second-most popular open-source SAST tool is SonarQube. Featuring a list of vulnerabilities that’s constantly upgraded, SonarQube integrates with CLIs and IDEs and with popular DevOps platforms like GitHub and GitLab. The free community edition covers 20 programming languages.
CodeQLGitHub open-sourced CodeQL, the tooling that powers its Advanced Security service, so you can self-host the service if SaaS isn’t an option.
BrakemanBrakeman is a SAST scanner for Ruby on Rails applications. It's a bit limited in scope, but it can be a great choice if you’re a Ruby shop.
BanditWhat Brakeman is for Ruby, Bandit is for Python. (Like Brakeman, keep in mind Bandit’s limited scope but greater depth than other tools.)
Find Security BugsFor Android or Java applications in general, Find Security Bugs is a solid choice. (It also works with other JVM languages like Kotlin, Groovy, and Scala.)
Wizアカデミー

The Open-Source Code Security Tool Roundup

もっと読む

Wiz と Checkmarx SAST の統合

CheckmarxとWizが提携 Checkmarxを組み合わせてアプリケーションのセキュリティを強化する統合を作成します。'のアプリケーションセキュリティに関する専門知識 ウィズ'のクラウドネイティブアプリケーション保護プラットフォーム(CNAPP). この統合は、コード開発からクラウドのデプロイ、ランタイムまで、セキュリティに対する包括的なアプローチを提供することを目的としています。

CheckmarxのSASTの結果は、コードの記述中など、開発プロセスの早い段階で問題を見つけることができます。 Wizのランタイムデータとクラウドアセットインベントリを統合することで、デプロイされたインフラストラクチャと結果を関連付けることができるため、脆弱性の特定と修復にかかる時間を節約できます。 

Checkmarxのスキャン情報とWizのランタイム・データから、重大な脆弱性が実際にシステム内で公開されているかどうかを把握できます。 これにより、誤検知と重大でないアラートが最大90%減少し、修復の優先順位付けが向上します。 WizとCheckmarxを使用すると、これらの機能をすべて1か所で一元管理できるため、ツールを切り替える必要はありません。

統合の主な機能

  • コードからクラウドセキュリティへ: この統合により、コードの最初の行からクラウドでのデプロイとランタイムまで、シームレスなセキュリティアプローチが可能になります。 これ "コードからクラウドへ、そしてクラウドからクラウド" ビジョンにより、組織はソフトウェア開発ライフサイクル (SDLC) 全体にわたってセキュリティ体制を強化できます。

  • 脆弱性の検出と優先順位付けの強化: Checkmarx SASTスキャン結果をWizと関連付ける'のクラウドセキュリティインサイト、この統合は、組織が重要な資産に対する最も重要なリスクを特定、優先順位付け、および対処するのに役立ちます。 この相関関係により、統一された実用的なセキュリティの可視性が提供され、ソフトウェアライフサイクル全体にわたる脆弱性の検出と軽減が向上します。

  • リスク評価を改善するためのランタイムコンテキスト: この統合により、脆弱性の検出結果にランタイムコンテキストが追加されるため、チームは脆弱性がインターネットに公開されているかどうかを理解でき、悪用のリスクが高まります。 この追加のコンテキストは、リスク レベルを変更し、脆弱性の優先順位付けをより効果的に行うのに役立ちます。

統合の利点

  • 優先順位付けの改善: CheckmarxとWizの知見を組み合わせることで、セキュリティ・チームと開発チームは最も重要な脆弱性に最初に焦点を当て、生産性と効率を向上させることができます。

  • 包括的なセキュリティ体制: この統合により、アプリケーションコードからクラウドインフラストラクチャまで、セキュリティリスクの全体像を把握できます。 これ "左にシフト、右にシールド" 戦略により、開発およびデプロイのプロセス全体を通じて包括的なセキュリティアプローチが保証されます。

  • ワークフローの合理化: この統合により、アプリケーションセキュリティの調査結果とクラウドセキュリティスキャンデータを統合することで、脆弱性の検出と軽減のプロセスを効率化できます。

  • 実用的なインサイト両プラットフォームからのデータの相関関係により、より実用的なインサイトが得られ、チームは開発段階と本番環境の両方で脆弱性により効果的に対処できます。

Secure your SDLC from start to finish

See why Wiz is one of the few cloud security platforms that security and devops teams both love to use.

デモを見る