Web アプリケーション向け静的解析ツール ThunderScan® DevOps 環境とCI/CD パイプラインに容易に統合可能。多数言語対応の高精度SAST ソリューション

毎日のように新しい脆弱性が発見/報告される昨今、Web アプリケーションだけでなく、IoT 機器で使用される組み込みソフトウェアまでもが、常にセキュリティリスクにさらされています。製品内に脆弱性を放置しておくことは攻撃者からの攻撃を許容していることと同義となり、セキュリティ被害を防ぐためには、製品のセキュリティ品質を常に高く維持することが必要です。そのためにはセキュリティ品質を意識した運用環境と開発環境の構築が重要となります。DevSecOps は、これを達成する為の一つの環境/手法となりますが、そこには自動化可能な SAST (Static Analysis Security Testing:静的アプリケーションセキュリティテストおよびホワイトボックステスト)ソリューションの導入が欠かせないものとなります。

ThunderScan® は、アプリケーションのソースコードから脆弱性となる不具合を検出する静的解析(SAST)ツールです。JavaScriptPythonPHPRubyGoKotlinSwiftCOBOL を含む計 29 個のプログラミング言語のサポートに加えて多様なソフトウェアフレームワークに対応し、数百万行のソースコードを数時間から数分でスキャンすることが可能です。また、ThunderScan® の解析はセキュリティホールとなる脆弱性を高精度にかつ誤検出を少なく検出するため、SAST 導入におけるオーバーヘッドを最小化し、生産性を低下させることなく最大限の効果を提供します。

ツール使用時にはユーザー側での手入力をほとんど必要とせず、パワフルな ThunderScan® API DevOps 環境と CI/CD パイプラインへ容易な統合を実現し、DevSecOps 環境の実現を支援します。

SCA(Software Composition:ソフトウェア構成分析)も機能も有しており、プロジェクトの依存関係に含まれる公開済脆弱性(関連する CVE エントリ)の検出も可能です。

ThunderScan® は、ゼロディ脆弱性となる不具合検出と既知の脆弱性の両方の観点でのセキュリティ検査が可能なツールとなります。

検出できる脆弱性例(一部抜粋)

  • SQL Injection
  • Command Injection
  • Code Injection
  • XPath Injection
  • LDAP Injection
  • XML External Entity (XXE) Injection
  • Path/Directory Traversal
  • Deserialization of Untrusted Data
  • Server Pages Execution
  • Server Side Request Forgery
  • PHP File Inclusion
  • Buffer Overflow
  • Integer Overflow
  • Arbitrary Library Injection
  • Use After Free
  • Double Free
  • Time of Check Time of Use
  • Uncontrolled Format String
  • Out of Buffer Bounds Read
  • Out of Buffer Bounds Write
  • Insecure Data Storage
  • Insufficient Transport Layer Protection
  • Shared Preferences Usage
  • Man-in-the-Middle Attack

主な特長

  • 29 種類(JavaScriptPythonPHPRubyGoKotlinSwiftCOBOL など)のプログラミング言語をサポートする自動化可能 SAST ツール
  • 多数のソフトウェアフレームワークをサポート
  • 低い誤検出率
  • PCI DSS、NISTOWASP Top 10HITRUSTHIPAASANS/CWE Top 25 等のセキュリティ基準に対するコンプライアンス違反状況のチェック、レポート作成が可能
  • 解析実行は、zip 形式でのアップロード、GitSVNTeam Foundation Version Control (TFVC) のレポジトリ設定、ローカルパスの指定若しくは Amazon S3 オブジェクトの設定にて可能であり、細かい手作業での設定はほぼ不要
  • パワフルな API により、JenkinsBamboo などの CI/CD ツールや、Jira Azure DevOps などの課題/バグ管理システムと容易に連携可能
  • GitHub Actions のワークフローに ThunderScan® の解析を組み込むことも可能
  • SCA(Software Composition Analysis:ソフトウェアコンポジション解析)機能を搭載

利用イメージ

  • 解析対象の設定
    • ブラウザへの zip 形式でのアップロードほか、各種設定方法に対応

ThunderScan_01.jpg

  • 解析プログラミング言語設定
    • 手動での設定以外にツールでの自動認識機能もあり

ThunderScan_02.jpg

  • 各種開発支援ツールとの連携
    • ブラウザ上で Git 等のバージョン管理ツール、Jira などの課題トラッキングツールのセッティング可能

ThunderScan_03.jpgThunderScan_04.jpg

  • リスクレベルに応じた検出結果表示
    • High、MiddleLow 3 段階のレベルに分けて検出した脆弱性を表示

ThunderScan_05.jpg

  • 詳細な脆弱性レポート表示
    • 検出した脆弱性はそれぞれソースコードと照らし合わせながら詳細に表示

ThunderScan_06.jpg

  • レポート出力
    • 解析結果は各種フォーマット(html, pdf, xmljson)でレポートとして出力可能

ThunderScan_07.jpg

ターゲット製品 / 対応製品 / 互換性など

対応ホスト環境 Windows、Linux
サポート言語

C#
Java
Kotlin
PHP
Python
Ruby
Go
JavaScript
TypeScript
Groovy
C
C++
VB.Net
Visual Basic
VBScript
ASP Classic
iOS Objective C
Android Java
Swift
ColdFusion
PL/SQL
COBOL
ABAP
ASP.Net
JSP
HTML/HTML5
SQL
XML
Salesforce APEX

サポート
ソフトウェア
フレームワーク

ASP.NET
ASP.NET MVC
Telerik
Hibernate.Net
Entity Framework
JSP
J2EE
Spring
Spring Boot
Struts
JAX-RS
JAX-WS
Java Faces
Java Beans
EJB
Hibernate
WebSockets
Zend
Kohana
CakePHP
Symfony
Laravel
Yii
Codeigniter
Phalcon
Flask
Django
Ruby on Rails
React
Angular
Node.js
Jquery
ExpressJS
Knockout
Koa.js
Grails
Gorilla
Revel
Gin
Echo
net/http
Beego
IBM DB2
BSP

ユーザーメリット

TuhnderScan® は、DevSecOps の実現に有効な SASTSCA ソリューションです。

  • 細かな設定不要で、簡単に、かつ素早く、ソースコードに対する高精度なセキュリティ検査を実行
  • ThunderScan® API により、解析の自動化を含めた DevOps 環境および CI/CD パイプラインへの統合が可能
  • 豊富な言語サポートにより、複数のプログラミング言語が使用されているプロジェクトでも一貫して解析を実施可能

主な用途(アプリケーション例など)

  • エンタープライズアプリケーション
  • Web アプリケーション
  • モバイルアプリケーション
  • 組込みシステム など

技術サポート

専任の担当者による電話、FAXE-mail でのサポートのほか、有償でのトレーニング、コンサルティングサービスを提供しています。