Static Analysis バイナリコード静的診断
Veracode Static Analysisは、バイナリコードをVeracodeのサイトにアップロードするだけでアプリケーションのセキュリティ静的診断を行います。
セキュリティ診断の実行は極めて容易で、クラウドサービスの利便性を活用することでお客様の運用負荷を抑えた脆弱性診断の内製化に最適なソリューションです。
セキュリティ診断の実行は極めて容易で、クラウドサービスの利便性を活用することでお客様の運用負荷を抑えた脆弱性診断の内製化に最適なソリューションです。
- SaaSモデルのため、ハードウェアの設置や管理が不要です。
- 複雑な設定なしに、複数のアプリケーションをテスト可能です。
- ソースコードが不要で、あらゆる規模のWebやモバイルアプリケーションのテストが可能です。
- IDEやCI / CD からシームレスにスキャンを実施可能です。
静的診断をシンプルに実現
Veracode Static Analysisは、バイナリアップロードだけで容易に検査が可能です。Static Analysis 診断フロー
Prescan
ビルド済みのファイルをZIP、tar.gzなどにまとめてアップロードすると検査前のチェックを実行し、不足しているファイルが無いかを確認します。
Scan
Prescan完了後、Scanが開始されます。Prescanの結果を確認してから手動で開始することも、特に問題なければ自動的に開始することも可能です。
Report
Scan完了後、診断完了のメールが届き、Scan結果の確認ができます。Veracodeの画面やレポート上で結果の詳細を確認することが可能です。
Static Analysisの利点
見つけるだけでなく、改修にフォーカス
診断結果は、発見された脆弱性の一覧だけでなく、対象のファイルやソースコードの該当行、脆弱性の危険度に加え、攻撃の容易さなどの観点から結果を表示します。
ソースコードの格納場所を指定することで、脆弱性が発見されたソースコードの箇所を直接見ることも可能です。
更に、発見された脆弱性の説明や、ソース(入力)からシンク(出力)の間に関係する場所を一覧で表示することもでき、開発者の修正作業の迅速化を支援します。
ソースコードの格納場所を指定することで、脆弱性が発見されたソースコードの箇所を直接見ることも可能です。
更に、発見された脆弱性の説明や、ソース(入力)からシンク(出力)の間に関係する場所を一覧で表示することもでき、開発者の修正作業の迅速化を支援します。
診断結果の統合的な可視化
クラウドのプラットフォーム上で、各開発チームやセキュリティチームが検査した結果を統合的に管理することができます。
検査結果から問題の詳細を確認することだけでなく、改修の状況や診断結果に対する対策の可否、過去の診断から現在に至るまでの診断結果の統計情報等、様々な観点で結果の管理・閲覧を行うことができます。
検査結果から問題の詳細を確認することだけでなく、改修の状況や診断結果に対する対策の可否、過去の診断から現在に至るまでの診断結果の統計情報等、様々な観点で結果の管理・閲覧を行うことができます。
IDEやCIツールとのシームレスな連携
専用プラグインを使い、EclipseやVisual Studioなどの主要IDEから、診断の実行・結果の確認・脆弱性の修正までの全操作が可能です。
また、共通アーキテクチャにより、いずれのIDEでも一貫したセキュリティ体験を提供します。
また、Jenkins・GitHub Actions・GitLab等のCI/CDパイプラインやJIRA等のプロジェクト管理ツールとの連携により、テストの自動化やチケットの自動登録等もサポートしています。
また、共通アーキテクチャにより、いずれのIDEでも一貫したセキュリティ体験を提供します。
また、Jenkins・GitHub Actions・GitLab等のCI/CDパイプラインやJIRA等のプロジェクト管理ツールとの連携により、テストの自動化やチケットの自動登録等もサポートしています。
IDE Pluginを利用した脆弱性診断
Veracode IDE Pluginは、静的解析(SAST)とソフトウェア構成解析(SCA)の結果を IDE 上に表示します。解析結果では以下の情報を確認できます。
- 脆弱性の重大度
- 脆弱性の種類(例:SQL Injection / XSS など)
- 関連づけられている CWE
- 脆弱性が検出されたコード行(ファイル・行番号)
- 必要に応じて Veracode Fix による提案修正
対応IDE: Eclipse / IntelliJ / Visual Studio / Visual Studio Code
※最新の対応状況はVeracode公式ドキュメントよりご確認ください。
Veracode Fix:AIによる脆弱性自動修正提案
Veracode Fixは、Static AnalysisおよびIDE Pluginで確認された脆弱性に対して、AIが具体的な修正コードを自動生成・提案する機能です。
開発者は提案された修正コードをワンクリックで適用できるため、セキュリティ知識が少ない場合でも迅速かつ的確に脆弱性を解消できます。
修正対応にかかる時間を大幅に短縮し、開発チーム全体の生産性向上に貢献します。
開発者は提案された修正コードをワンクリックで適用できるため、セキュリティ知識が少ない場合でも迅速かつ的確に脆弱性を解消できます。
修正対応にかかる時間を大幅に短縮し、開発チーム全体の生産性向上に貢献します。
- 検出された脆弱性ごとに、AI生成の修正コードをIDE上に直接提案
- 提案コードはワンクリックで適用可能(コードを書かずに修正完了)
- 修正の根拠となるセキュリティの解説も合わせて確認できる
過剰検知の極小化
Veracodeは、スキャンを重ねるごとに精度が向上しています。これまでの10年以上の経験と6兆行のスキャンを行った結果、ルールの細かな調整や手作業によるレビューを行わなくても、5%未満の誤検知率を達成しています。- 検知した脆弱性を整理するための無駄な時間を省きます。
- ルールの調整や策定をする必要はありません。また、スキャンされたアプリケーションに対して手動でのプロセスも不要です。
- 業界トップクラスの誤検知率を、数千ものアプリケーションで検証済みです。
幅広い言語サポート
Veracode Static Analysisは、Webやモバイルアプリケーションに広く使用される言語をサポートしています。- Java(Java SE, Java EE, JSP)
- .NET(C#, ASP.NET, VB.NET)
- Webプラットフォーム:JavaScript(AngularJS, Node.js、およびjQueryを含む), Scala, Python, PHP, Ruby on Rails, Go, ColdFusion、およびクラシックASP
- モバイルプラットフォーム:iOS(Objective-CおよびSwift), Android(Java), PhoneGap, Cordova, Titanium, Xamarin
- C / C ++(Windows, RedHat Linux, OpenSUSE, Solaris)
- レガシービジネスアプリケーション(COBOL, Visual Basic 6, RPG)
対応ブラウザ
- Chrome(最新版)
- Firefox(最新版)
- Internet Explore 11
- Safari(最新版)
対応開発環境
| IDE | IDE Versions |
|---|---|
| Eclipse | Eclipse 4.30(2023-12)and later |
| JetBrains | 2023.x and later |
| Visual Studio | Visual Studio 2026:v18.1.0 以降 Visual Studio 2022:v17.11.4 以降 Visual Studio 2019:v16.11.40 以降 |
| VScode | Visual Studio Code 1.78.2 以降 |
| 対応言語(代表例) | Java C / C++ C# JavaScript / TypeScript Python Go Kotlin Scala Ruby PHP等 |
|---|
連携ツール
- ANT
- Maven
- JIRA
- AWS CodeStar
- Azure DevOps
- Bamboo
- Bitbucket
- Jenkins
- Bugzilla
- CircleCI
- GitHub
イベント・セミナー
資料ダウンロード
Veracodeに
関するお問い合わせ
テクマトリックス株式会社
東京本社ネットワークセキュリティ事業部
第3営業部
セキュリティプロダクツ営業2課03-4405-7814
- メールでのお問い合わせ
- veracode@techmatrix.co.jp