セキュリティ対策におけるテスト手法の分類

昨今、ソフトウェア開発のプロセスにおけるセキュリティ対策の重要性が増しています。
セキュリティを担保するために用いられるテスト手法はさまざまありますが、堅牢なソフトウェア開発を行うためには、それぞれの手法の強み・弱みを理解し、複数の異なる手法を適切に組み合わせて用いることが有効なアプローチとなります。

異なるテスト手法を分類分けして考える際、プログラムを動作させずにソースコードなどをベースに「静的に検証」、あるいは実際にプログラムを動作させて「動的に検証」を行うかで、分類することができます。また、テスト対象が「自社開発のコード」であるか、あるいは利用しているOSSなど「サードパーティー」のものか、という点でもテスト手法を分けることができます。

静的解析(SAST)と動的解析(DAST)の比較については、ホワイトペーパーに詳しくまとめています。
この分類における「自社開発コード」を対象としたテスト手法についてフォーカスし、静的解析(SAST)と動的解析(DAST)それぞれのメリットとデメリットに加え、動的解析のなかでもより一般的に活用されるランタイムエラー検出といま注目されるファジングの比較について詳しくご紹介していますので、ぜひダウンロードください。

単体・結合テスト対応ファジングツール「Mayhem for Code」のご紹介

動的解析(DAST)の手法のひとつにファジングがあります。ファジングは膨大なテストデータを自動的に生成するため、デバッガーや単体テストケースなどを用いた一般的なランタイムエラー検出と比べ開発者の手間が少なく、網羅的なテストが可能です。

ファジングを用いたテストにご興味ある方に、単体・結合テスト対応ファジングツール「Mayhem for Code」をご紹介します。
Mayhem for Codeは、高精度なテストケースの生成とテストの実行を繰り返すことで、カバレッジを最大化しながらプログラムの深くに潜むバグや脆弱性を発見します。膨大な数のテストを自動的に実行するため、開発者の労力やスキルに依存せず、バグや脆弱性の検出と高いカバレッジの実現を効率的に行うことができます。