セキュリティ

Jtestのセキュリティ脆弱性検出の特長

Jtestは、Javaコードに潜むさまざまなセキュリティ脆弱性を検出します。ソフトウェア開発ライフサイクルの早い段階から適用でき、継続的なセキュリティの確保を可能にします。 クロスサイトスクリプティングSQLインジェクションHTTPレスポンス分割といった、セキュリティ脆弱性を検出する200種類のルールが搭載されており、Webアプリケーションを脅かす攻撃に対して、脆弱なコードをピンポイントに検出します。また、OWASP TOP10PCI DSSCWE/SANS Top 25などの権威ある団体が発表したセキュリティ脆弱性のルールカテゴリがあらかじめ用意されているので、すぐに検証を実施することが可能です。搭載されているルールやルールセットは容易にカスタマイズできるので、ユーザ独自のセキュリティポリシーに合わせたルールおよびルールセットを作成し、チーム内で共有することで、ポリシーへの準拠を徹底することができます。

Jtestのセキュリティ脆弱性検出の特長

  • ソースコードレベルでの検証
    Jtestはソースコード自体を解析することでセキュリティ脆弱性を検証します。そのため、膨大なパターンのテストデータを作成したり、テスト実行用の環境を用意する必要がありません。また、静的に解析するので、アプリケーションを動作させる必要もなく、かつ、網羅率の高い検証が行えます。
  • アプリケーションライフサイクル全体に適用可能
    ソースコードを対象とする検証なので、アプリケーションが完成する前でも検証を開始できます。定期的に検証を実行すると、コードに入り込んだセキュリティ脆弱性をただちに発見し、修正することができます。問題箇所を早期に修正することで、修正コストを最小限にとどめることができます。また、アプリケーションの拡張時にも、コードの変更によって既存のコードを含めたアプリケーション全体に新たな問題が発生していないことを確認できます。
  • OWASP TOP 10※1やPCI DSS※2、CWE/SANS最も危険なプログラミングエラーTOP 25※3といった権威ある団体発表しているWebアプリケーションの安全性に関する基準で取り上げられているセキュリティ脆弱性を含むコードを検出
    約200種類のセキュリティ脆弱性に関するコーディングルールが搭載されています。また、ルールの重要度や、PCI DSSOWASP TOP 10CWE/SANS TOP 25)などのカテゴリに従って選択されたルールのセットがあらかじめ用意されているため、すぐにセキュリティ検証を開始することができます。
OWASP Top 10とJtestについては、OWASP TOP 10をご覧ください。
PCI DSSとJtestについては、PCI DSSをご覧ください。
CWE-SANS Top 25とJtestについては、CWE/SANS TOP 25をご覧ください。

※1 OWASP (Open Web Application Security Project)は、安全なWebアプリケーションを実現するためのセキュリティ向上を推進する非営利団体で、OWASP TOP10は、2007年に公開された脆弱性トップ10です。
※2 PCI DSSは、Visa、MasterCard、American Express、Discover、JCB International が共同で創設したPCI Security Standards Councilによって、クレジットカード会員情報を取り扱う上で、カード情報とITシステムを安全に保護するための基準で、12の要件が定義されています。今日では、クレジットカード業界のグローバルセキュリティ基準となっており、クレジットカード業界以外でも、セキュリティの基準に採用する企業が増えています。
※3 CWE/SANS最も危険なプログラミングエラーTOP 25は、SANS InstituteとCWE(Common Weakness Enumeration、統一的なソフトウェアの欠陥の一覧を定めるプロジェクト)が2009年1月に発表したもので、世界各国の30の情報セキュリティ機関・団体から選ばれたエキスパートによって、情報漏えいやサイバー犯罪につながる危険なプログラムエラーの上位25が選定されています。


  • ユーザ独自のセキュリティポリシーに基づくルールの追加やカスタマイズ
    搭載されている多くのルールは、変更可能なパラメータを備えています。検証の対象とするクラスやメソッド、例外とするパターンなどを指定することにより、ルールをきめ細かくカスタマイズできます。また、ユーザ独自のルールを新たに作成することも可能です。これにより、ユーザのセキュリティポリシーを自動的に推進することができるようになります。
  • その他の性能や品質に関わるコーディングルール
    セキュリティに関わる問題点の探索に加えて、800種類のコーディングルールが搭載されており、不定・不良データへのアクセスといったアプリケーションの性能や品質に影響するようなコードの探索やメトリクスの計測、重複コードの検出などを静的に解析することも可能です。セキュリティ上の脆弱性の検証に加えて、これらの性能や品質に関わるコーディングルールでの検証を実施することにより、アプリケーションの品質向上も図ることができます。

Jtsetで行うセキュアコーディングに関する資料

以下の資料をご用意しております。ご希望の方は、資料請求フォームからお問合せください。

【資料】

Jtestに
関するお問い合わせ

  • 東京本社

    システムエンジニアリング事業部
    ソフトウェアエンジニアリング営業部

    03-4405-7853

メールでのお問い合わせ
parasoft-info@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。