Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2014年3月11日

IPA がオープンソースのソースコード脆弱性検査ツールの紹介資料を公開しました

IPAテクニカルウォッチ「ウェブサイトにおける脆弱性検査手法の紹介(ソースコード検査編)」:IPA 独立行政法人 情報処理推進機構

IPA がオープンソースのソースコード脆弱性検査ツールの紹介資料を公開しました。

商用のソースコード脆弱性検査ツールで有名なものに、Fortify がありますが、お値段がかなりするので、試しに導入してみようとするのは、かなり難しいものがあります。

その点、若干の性能の不足や使い勝手の悪さがあったとしても、オープンソースなら気楽にソースコード脆弱性検査ツールでも導入することができます。

そういう意味で、Java と PHP に限定されてはいますが、オープンソースのソースコード脆弱性検査ツールを紹介しているこの資料は非常に価値があると思います。

資料ではソースコード脆弱性検査ツールを、「ソースコード入力型」と「統合開発環境組込み型」に分類しています。

「ソースコード入力型」とは、開発が済んだまとまったソースコードをまとめて検査するタイプです。一方、「統合開発環境組込み型」は、Eclipse などの統合開発環境にプラグインとして組み込むタイプになります。

資料で公開されているオープンソースのソースコード脆弱性検査ツール一覧は以下のようになります。Java と PHP だけでも、結構な数がありますね。pic01

この中から、「ソースコード入力型」として PHP 対応の RIPS と、「統合開発環境組込み型」として Java の LAPSE+ を取り上げて、セットアップから使用方法まで解説されています。最後に評価もされています。

この解説を読めば、ソースコード脆弱性検査ツールはどのように使うのか、どのような点に注意すればよいのかが分かってきます。特に、誤検知・未検知の問題は意識しておくべき問題でしょうね。

ソースコード脆弱性検査ツールを開発プロジェクトに導入するのは敷居が高いかもしれませんが、クロスサイト・スクリプティングや SQL インジェクションといった見落としにより発生する脆弱性には非常に効果があると思います。

ですので、まずはこの資料(27ページ)を読んでみることをお勧めします。


スポンサーリンク




カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA