Static Analysis バイナリコード静的診断

Veracode Static Analysisは、バイナリコードをVeracodeのサイトにアップロードするだけでアプリケーションのセキュリティ静的診断を行います。
セキュリティ診断の実行は極めて容易で、クラウドサービスの利便性を活用することでお客様の運用負荷を抑えた脆弱性診断の内製化に最適なソリューションです。

  • SaaSモデルのため、ハードウェアの設置や管理が不要です。
  • 複雑な設定なしに、複数のアプリケーションをテスト可能です。
  • ソースコードが不要で、あらゆる規模のWebやモバイルアプリケーションのテストが可能です。
  • IDEやCI / CD からシームレスにスキャンを実施可能です。

静的診断をシンプルに実現

Veracode Static Analysisは、バイナリアップロードだけで容易に検査が可能です。

Static Analysis 診断フロー

Prescan

ビルド済みのファイルをZIP、tar.gzなどにまとめてアップロードすると検査前のチェックを実行し、不足しているファイルが無いかを確認します。

Scan

Prescan完了後、Scanが開始されます。Prescanの結果を確認してから手動で開始することも、特に問題なければ自動的に開始することも可能です。

Report

Scan完了後、診断完了のメールが届き、Scan結果の確認ができます。Veracodeの画面やレポート上で結果の詳細を確認することが可能です。

Static Analysisの利点

見つけるだけでなく、改修にフォーカス

診断結果は、発見された脆弱性の一覧だけでなく、対象のファイルやソースコードの該当行、脆弱性の危険度に加え、攻撃の容易さなどの観点から結果を表示します。
ソースコードの格納場所を指定することで、脆弱性が発見されたソースコードの箇所を直接見ることも可能です。
更に、発見された脆弱性の説明や、ソース(入力)からシンク(出力)の間に関係する場所を一覧で表示することもでき、開発者の修正作業の迅速化を支援します。

Veracode:見つけるだけでなく、改修にフォーカス

診断結果の統合的な可視化

クラウドのプラットフォーム上で、各開発チームやセキュリティチームが検査した結果を統合的に管理することができます。
検査結果から問題の詳細を確認することだけでなく、改修の状況や診断結果に対する対策の可否、過去の診断から現在に至るまでの診断結果の統計情報等、様々な観点で結果の管理・閲覧を行うことができます。

Veracode:診断結果の統合的な可視化

IDEやCIツールとのシームレスな連携

専用プラグイン(Eclipse, VisualStudio)を使い、開発環境上から診断に必要な全ての操作が可能です。
アップロードインタフェースも用意されており、結果の閲覧も開発環境上で可能となります。
また、Jenkins Plugin等のAPIを活用することにより、ビルドツールと連携したテストの自動化や、JIRA等のプロジェクト管理ツールとの連携によるチケットの自動登録等もサポートしています。

Veracode:IDEやCIツールとのシームレスな連携

過剰検知の極小化

Veracodeは、スキャンを重ねるごとに精度が向上しています。これまでの10年以上の経験と6兆行のスキャンを行った結果、ルールの細かな調整や手作業によるレビューを行わなくても、5%未満の誤検知率を達成しています。

  • 検知した脆弱性を整理するための無駄な時間を省きます。
  • ルールの調整や策定をする必要はありません。また、スキャンされたアプリケーションに対して手動でのプロセスも不要です。
  • 業界トップクラスの誤検知率を、数千ものアプリケーションで検証済みです。

幅広い言語サポート

Veracode Static Analysisは、Webやモバイルアプリケーションに広く使用される言語をサポートしています。
  • Java(Java SE, Java EE, JSP)
  • .NET(C#, ASP.NET, VB.NET)
  • Webプラットフォーム:JavaScript(AngularJS, Node.js、およびjQueryを含む), Scala, Python, PHP, Ruby on Rails, Go, ColdFusion、およびクラシックASP
  • モバイルプラットフォーム:iOS(Objective-CおよびSwift), Android(Java), PhoneGap, Cordova, Titanium, Xamarin
  • C / C ++(Windows, RedHat Linux, OpenSUSE, Solaris)
  • レガシービジネスアプリケーション(COBOL, Visual Basic 6, RPG)
※最新の対応状況はVeracode社のサイトよりご確認ください。

対応ブラウザ

  • Chrome(最新版)
  • Firefox(最新版)
  • Internet Explore 11
  • Safari(最新版)
※最新の対応状況はVeracode社のサイトよりご確認ください。

対応開発環境

  • Elipse:Eclipse 3.7 (Indigo) and later
  • InteliJ(IntelliJ IDEA version 14.1 to 2017.2)
  • Visual Studio(2012 - 2017)
※最新の対応状況はVeracode社のサイトよりご確認ください。

連携ツール

  • Team Foundation Server
  • ANT
  • Maven
  • Bamboo
  • TeamCity
  • Jenkins
  • JIRA
  • Bugzilla
  • GitHub
※最新の対応状況はVeracode社のサイトよりご確認ください。

Veracode:サービス仕様

Veracodeに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    セキュリティ営業部
    セキュリティプロダクツ営業2課

    03-4405-7869

メールでのお問い合わせ
veracode@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。