Webアプリケーションに対する攻撃には、OWASP (Open Web Application Security Project)が発表するOWASP Top 10のように、よく知られたパターンに基づくものがあります。 これらの脆弱性はよく知られているにもかかわらず、依然として多くのサイトに脆弱性が存在し、攻撃の試みも後を絶ちません。


Jtestはソースコード自体を解析することでセキュリティ脆弱性を検証します。そのため、膨大なパターンのテストデータを作成したり、テスト実行用の環境を用意する必要もありません。静的に解析するので、アプリケーションを動作させる必要がないので、少ないコストで効果的なセキュリティ検証を実行できます。

Parasoft Jtest によるセキュリティ検証

Jtest は次の2つの静的解析技術を備えています。

• コーディング規約チェック(パターンマッチングによる解析)
  ソースコード全体を解析し、セキュリティ脆弱性の原因となるコードのパターンをピンポイントで指摘します。セキュリティ脆弱性に繋がるコードの早期発見と修正を実現します。
   
• フロー解析
  擬似的にコードの処理フローを実行し、不正なデータが入り込む可能性のある箇所を探します。解析結果には、不正なデータが入り込んだ箇所からデータが使用される箇所までのフローをわかりやすく表示します。動的テストとは異なり、テストデータを必要としないためまれにしか実行されないフローやテストが困難なフローも網羅的に検証することができます。

Jtest が検出する脆弱性(抜粋)一覧

Jtest にはセキュリティ脆弱性を検出する800種類のルールが搭載されており、脆弱なJavaコードをピンポイントに検出します。
以下のリストは、よく知られたWebアプリケーションの脆弱性です。リンク先では各脆弱性の説明とJtestでどのようにそれらの脆弱性を検出するのかをご紹介しています。

• クロスサイト スクリプティング(XSS)
• SQLインジェクション
• HTTPレスポンス分割
• さまざまなリソースインジェクション

Jtest によるコンプライアンス準拠

また、Jtestには、 OWASP TOP10、 PCI DSS、 CWE Top 25などの権威ある団体が発表したセキュリティ脆弱性を検出するための専用のルールセットがあらかじめ用意されています。
特定の脆弱性に対する対策と同じようにセキュリティコンプライアンスに準拠するためのソースコード検証を行うことができます。

※ セキュリティルール及びセキュリティコンプライアンス規約セットによる静的解析には「セキュリティコンプライアンスパック」のライセンス(有償)が必要です。