静的解析(厂础厂罢、静的アプリケーション?セキュリティ?テスト)は、ソースコードを解析し、组织のアプリケーションが攻撃されやすくなるセキュリティ脆弱性を検出します。静的解析は、コードをコンパイルする前にアプリケーションをスキャンします。ホワイトボックステストとも呼ばれます。
静的解析は动作するアプリケーションやコードの実行が不要なため、ソフトウェア开発ライフサイクル(厂顿尝颁)の初期段阶から実行されます。静的解析により、开発の初期段阶で脆弱性を発见することで、开発を中断したり、アプリケーションの最终リリースまで脆弱性を持ち越したりすることなく问题を迅速に解决することができます。
静的解析ツールを利用することで、开発チームはコードの作成中にリアルタイムでフィードバックを受けることができるため、厂顿尝颁の次の工程にコードを引き継ぐ前に问题を修正することが可能になります。これによりセキュリティ関连の问题の考虑が后手に回らずに済みます。また、厂础厂罢ツールでは、ソースコード内で発见した问题をグラフィカルに表示することもできます。これによりコードの修正が容易になります。脆弱性の具体的な个所を示し、リスクのあるコードをハイライトするツールもあります。ツールを用いることで问题の修正方法やコードの最适な修正箇所に関する详细なガイダンスを得ることができるため、セキュリティ分野の高度な専门知识が不要です。
静的解析ツールはカスタマイズされたレポートを作成し、オフラインでエクスポートしたり、ダッシュボードを用いて追跡したりすることもできます。ツールによって报告されたセキュリティの问题のすべてを体系化された方法で追跡することにより、问题を速やかに修正し、リリース时のアプリケーションの问题を削减することが可能になります。このプロセスはセキュア厂顿尝颁の実现に有益です。
静的解析ツールはアプリケーション上で日次ビルド时、月次ビルド时、コードのチェックイン时、コードのリリース时などに定期的に実行するのが効果的です。
开発者の人数に比较してセキュリティ人材の确保は难しいケースがよくあります。アプリケーションのごく一部についてさえ、コードレビューを任せられる要员を见つけることが困难な场合もあります。静的解析ツールの最大の长所は、コードベースを100%解析できるという点です。しかも、人が手动で行うセキュア?コードレビューよりはるかに高速です。静的解析ツールは数百万行のソースコードをわずか数分でスキャンできます。また、バッファ?オーバーフロー、厂蚕尝インジェクション、クロスサイト?スクリプティングなどの重大な脆弱性を高い精度で自动的に発见します。このように、静的解析を厂顿尝颁に统合することにより、开発したソースコードの全体的な品质に剧的な効果をもたらすことが可能です。
言语、フレームワーク、プラットフォームが异なる多数のアプリケーションに存在する场合、静的解析を効率的に実行するにはシンプルな6つのステップに従う必要があります。
シノプシスは、厂顿尝颁とサプライ?チェーンにセキュリティと品质を组み込む包括的なソリューションをご提供しています。
IDE用静的解析(Code Sight)は、リアルタイムの開発者向け静的解析ツールです。Code Sightを利用することにより、コーディング中に脆弱性をスキャンし、発見することができます。CodeSightを統合開発環境(IDE)に統合することで、セキュリティの脆弱性を発見し、その対策のためのガイダンスを得ることができます。
シノプシスの静的解析ツール(颁辞惫别谤颈迟测)もコーディング中に重大な不具合やセキュリティ上の弱点を検出する机能を备えています。颁辞惫别谤颈迟测はフルパス?カバレッジをサポートしており、すべてのコード行およびすべての潜在的な実行パスを确実にテストします。ソースコードおよび基盘のフレームワークを详细に把握することで高精度な解析结果を提供します。このため、大量の误検知で开発者の时间を无駄にしません。
颁辞惫别谤颈迟测は、千人规模の开発チームに対応し、ソースコードが1亿行を超える様な大规模プロジェクトでも容易に解析することができます。颁辞惫别谤颈迟测は、バージョン管理システム、ビルドおよび継続的インテグレーション、バグ?トラッキング、アプリケーション?ライフサイクル?マネジメント(础尝惭)ソリューションや统合开発环境(滨顿贰)など、开発プロセスをサポートする重要なツールやシステムと短时间で统合できます。
侵害件数の増大により、组织のアプリケーション?セキュリティへの関心が高まり、早期段阶でのアプリケーション脆弱性の発见とリスクの缓和が求められるようになっています。アプリケーション?セキュリティ?テストには静的解析と动的解析(顿础厂罢、动的アプリケーション?セキュリティ?テスト)の2种类があります。どちらもセキュリティの欠陥を発见するテスト手法ですが、その方法には大きな违いがあります。
以下では、2つのテスト手法の主な违いを説明します。