高精度バイナリ SCA ソリューション CodeSentry バイナリファイルに含まれる OSS コンポーネントを検出し、脆弱性をレポート

バイナリソフトウェアコンポジション解析

CodeSentry は、バイナリファイルを対象としたSCA(Software Composition Analysis:ソフトウェアコンポジション解析)ソリューションです。バイナリファイルから OSS(Open Source Software:オープンソースソフトウェア)コンポーネントを検出して、SBOM(Software Bill Of Material:ソフトウエア部品表)を作成します。検出した OSS コンポーネントに脆弱性が含まれていた場合、その CVE 識別番号もあわせてレポートします。
バイナリファイルが解析対象なので、自社開発のソフトウェアだけでなく、ツール類の解析も可能です。社内で利用しているツールやシステムに対して、そこに含まれているオープンソースコンポーネントの把握にも利用できます。
CodeSentry には、GrammaTech 社の SAST(Static Application Security Testing:静的アプリケーションセキュリティテスト)ツール CodeSonar のバイナリ解析技術を取り入れており、未知の脆弱性(ゼロデイ脆弱性)も検出可能です。

昨今のソフトウェア開発では、開発期間の短縮や開発費用の低減などを目的として、OSS を含むサードパーティ製コンポーネントの利用が一般的になっています。もし、利用したサードパーティ製コンポーネントが脆弱性を含む場合、その脆弱性に起因するセキュリティリスクも抱え込むことになります。CodeSentry は、OSS 利用の“リスク”を検知し、より安全で高いセキュリティの達成を支援します。
CodeSentry はバイナリ SCA なので、社内で利用するツールやシステムも解析することができます。普段何気なく利用している社内ツールやシステムは信頼できるものでしょうか? また、ダウンロードしてきたツールは、本当に安全でしょうか? CodeSentry を実行し、それらのソフトウェアに含まれる OSS コンポーネントを明らかにすることで必要な対策が分かり、社内のセキュリティを高めるのに役立ちます。

主な特長

  • バイナリファイルを対象とする SCA(Software Composition Analysis:ソフトウェアコンポジション解析)ソリューション
  • ソフトウェアに含まれる OSS コンポーネントを高精度に検出して SBOM を作成するとともに、CVE 識別番号をレポート
  • 独自のバイナリ解析技術により、ゼロデイ脆弱性も検出可能
  • バイナリを解析対象とするため、自社開発製品以外も解析可能。社内使用 COTS(Commercial Off-The-Shelf:商用オフザシェルフ)のセキュリティチェックにも利用可能

利用イメージ

CodeSentry2.png

  • SaaS または On-Prem 環境のいずれかで利用可能
  • Zip などの形式で解析対象をアップロード
  • 解析時の深さ(Shallow もしくは Deep)を指定。
  • ゼロデイ脆弱性検出モードの指定可能
  • 解析完了後、検出した OSS コンポーネントをそのバージョンと CVE 識別番号を一緒にレポート(SBOM)
  • SBOM のレポートは、CycloneDX、CSV、PDF、JSON で作成可能

動作環境

利用環境 • SaaS
• On-Prem(要求環境 OS: Linux/RAM:32Gb/1TBストレージ/Kubeneters)  
SBOM
レポート
フォーマット
• CycloneDX
• CSV
• PDF
• JSON
Compression / 
Archive /
Installation
フォーマット
• Zip (.zip)
• Tar (.tar)
• Bzip2 (.bz2)、 .bzip2、 .tbz2、 .tbz
• Gzip (.gz)、 .gzip、 .tgz、 .tpz
• LZMA / LZMA2 (.xz)
• CPIO (.cpio)
• -Xar (.xar)
• 7zip (.7z)
• VSIX (.vsix)
• JAR (.jar)
解析可能
バイナリ
フォーマット
• Linux: executables, objects, archives, libraries (.o/.so/.a)
• Windows: executable, objects, libraries (.exe/.obj/.dll)
• Mac: executables, objects, libraries
検出可能
ゼロデイ
脆弱性タイプ
[CWE TOP 25]
• CWE-22 – Path Traversal
• CWE-78 – OS Command Injection
• CWE-89 – SQL Injection
• CWE-119 – Improper Restriction Of Operations
• CWE-190 – Integer Overflow
• CWE-200 – Exposure of Sensitive Information
• CWE-416 – Use After Free
• CWE-476 – Null Pointer Dereference
• CWE-732 – Incorrect Permission Assignment
• CWE-798 – Use of Hard Coded Credentials
[その他検出可能CWEルール]
• CWE-14 – Compiler Removal of Code to Clear Buffers
• CWE-15 – External Control of System
• CWE-73 – External Control of Path
• CWE-90 – LDAP Injection
• CWE-99 – Resource Injection
• CWE-114 – Process Control
• CWE-120 – Buffer Overflow
• CWE-134 – Use of Externally-Controlled Format String
• CWE-170 – Improper Null Termination
• CWE-227 – API Abuse
• CWE-242 - Use of Inherently Dangerous Function
• CWE-252 – Unchecked Return Value (partial)
• CWE-256 – Unprotected Storage of Credentials
• CWE-284 – Improper Access Control
• CWE-311 – Missing Encryption Of Sensitive Data
• CWE-325 – Missing Cryptographic Step
• CWE-326 – Inadequate Encryption Strength
• CWE-327 – Use of a Broken of Risky Cryptographic Algorithm
• CWE-328 – Reversible One-Way Hash
• CWE-330 – Use of Insufficiently Random Values
• CWE-331 – Insufficient Entropy
• CWE-338 – Use of Cryptographically Weak PNG
• CWE-367 – Time-of-check Time-of-use (TOCTOU) Race Condition
• CWE-369 – Divide By Zero
• CWE-377 – Insecure Temporary File
• CWE-391 - Unchecked Error Condition (partial)
• CWE-398 – Unchecked Error Condition
• CWE-401 – Missing Release of Memory after Effective Lifetime
• CWE-452 – Initialization and Cleanup Errors
• CWE-243 - Creation of chroot Jail Without Changing Working Directory
• CWE-251 - Often Misused: String Management
• CWE-269 – Improper Privilege Management
• CWE-275 – Write to Read Only File
• CWE-281 – Improper Preservation of Permissions

ユーザーメリット

  • バイナリファイルのみを解析対象とするため、「ソースコードが手元にない」「購入ライブラリがバイナリ提供のため、SCA ができない」といったソースコード SCA 実行時の課題を解決
  • Grammatech 社独自開発のバイナリ解析エンジンにより、高精度に OSS を検出し SBOM を作成
  • SCA による N-デイ脆弱性(既知脆弱性)と SAST による 0-デイ脆弱性(未知脆弱性)を一緒に検出
  • 自社製品以外にも、社内利用 COTS に含まれる OSS を検出可能。社内導入ツール/システムの選定プロセスを効率化

主な用途

メディア掲載およびホワイトペーパー

CodeSentry が、米国 Cyber Defense Magazine 社が主催する "次世代ソフトウェアコンポジション解析" 部門で Global InfoSec Award を受賞しました。
CYBER DEFENSE MAGAZINE - 2021 SPECIAL EDITION(PDF)

技術サポート

専任の担当者による電話、FAX、E-mail でのサポートを提供します。