Checkmarx CxSAST Overview (jp_Checkmarx CxSAST概要)
Checkmarx CxSASTは、ユニークなソースコード分析ソリューションです。このツールは、セキュリティの脆弱性、コンプライアンス関連の課題やビジネスロジックの問題などに見られる、ソースコードの技術的かつ論理的なフローを特定/追跡/修正します。
ソフトウェアプロジェクトのソースコードをビルドしたりコンパイルしたりすることなく、CxSASTはコードの要素やフローの論理的なグラフを作成のうえ、この内部的なコードのグラフに対してクエリを実行します。また、同ツールにはプログラミング言語ごとに、セキュリティの既知の脆弱性に対して、数百行にも及ぶ膨大な数の定義済みクエリのリストが実装されています。さらに、CxSAST Auditorツールを使用することで、セキュリティ、QA、ビジネスロジック向けに独自のクエリを新たに設定することが可能です。
CxSASTでは、静的なレポート、または対話型インターフェースのいずれかでスキャン結果を確認することができます。このインターフェースは、コードを介し脆弱性ごとにランタイム時の挙動を追跡することが可能です。さらに、改善に必要なツールやガイドラインも提供します。結果をカスタマイズすることで、誤検出を取り除くことも可能です。また、多種多様なワークフローメタデータを、各結果のインスタンスへ追加することもできます。これらのメタデータは、当該インスタンスが引き続き発見される場合に限り、その後に実行されるスキャンの間も保持されます。
CxSASTのスキャンや分析に使用される情報は、バイナリではなくソースコードです。このため、ビルドやコンパイルの実行、およびライブラリは必要ありません。それどころか、コードは適切にコンパイルやリンクが行える状態になくても良いのです。したがって、CxSASTはソフトウェアプロジェクトの開発ライフサイクルにおいて、任意の時点で、スキャンの実行やセキュリティレポートを生成することができます。
CxSASTはOpen Source Analysis(CxOSA)をサポートしているので、ライセンスやコンプライアンス管理、脆弱性の通知、ポリシーの適用やレポート作成を行うことが可能です。CxOSAは、最も一般的なプログラミング言語すべてをサポートしています。このため、各組織においては、自社開発のコード解析カバレッジにくわえて、オープンソースのコンポーネントすべてをセキュアに保つことができます(詳細は、「サポート対象のコード言語とフレームワーク」を参照)。
CxSASTは、次のような開発サイクルにおける多種多様なツールやシステムに統合することが可能です。
- ソフトウェアビルド自動化ツール(Apache Antおよび/wiki/spaces/SD/pages/104824913)
- ソフトウェア開発バージョン管理システム(GIT)
- バグ追跡/プロジェクト管理ソフトウェア(JIRA)
- リポジトリホスティングサービス(GitHub)
- アプリケーション脆弱性管理プラットフォーム(ThreadFix)
- 継続的インテグレーションプラットフォーム(/wiki/spaces/SD/pages/68223027およびJenkins)
- 継続的コード品質管理プラットフォーム(/wiki/spaces/SD/pages/11796500)
- ソースコード管理ツール(TFS)
CxSASTのスキャンは、手動による実行、スケジューリングによる定期的な実行、弊社の統合ビルドシステムでのビルド時に実行することが可能です。
さらにCxSASTは、多岐にわたるOSプラットフォーム、プログラミング言語、フレームワークもサポートしています。
CxSASTはサーバ上に展開し、ユーザは弊社が提供するWebインターフェースや、IDEプラグイン(Eclipse、Visual Studio、/wiki/spaces/SD/pages/74317889)を利用してアクセスします。
ご意見やご質問などは、弊社テクニカルサポートにお問い合わせください。