Static Application Security Testing
ソースコード、バイトコード、バイナリを解析してセキュリティ脆弱性を検出するテスト手法
ホワイトボックステストとも呼ばれ、アプリケーションを実行せずにコードを分析する
特徴
- DevSecOpsのシフトレフトを実現
- #Continuous Integrationパイプラインに統合可能
- SQLインジェクション、XSS、バッファオーバーフロー等を検出
DAST(動的テスト)と組み合わせて使用されることが多い
SAST
-
Hadolint#Continuous Integration Dockerfileの構文チェック、ベストプラクティス検証、セキュリティ脆弱性検出を行うSASTツール Haskellで実装され、ShellCheckを統合することでRUN命令内のbashスクリプトも検証する 主な機能: Dockerfileの構文エラー検出 ベストプラクティス違反の警告(例: Non-root User、マルチステージビルド) セキュリティ脆弱性の検出 CIパイプラインへの統合が容易 Dockerイメージとしても配布されており、ローカル環境へのインストール不要で実行可能 hadolint.yamlで出力形式やルールをカスタマイズ可能 https://hadolint.dev/ https://github.com/hadolint/hadolint
-
Quay.io#Cloud Native #Security #Continuous Integration Red Hatが提供するコンテナイメージレジストリサービス コンテナイメージの保存・配布を行い、SAST脆弱性スキャナーClairによる自動セキュリティスキャンを統合している 3つの提供形態がある Quay.io - Red Hatが運用するホスト型サービス。パブリックリポジトリは無料 Red Hat Quay - オンプレミスまたはプライベートクラウドにデプロイ可能。Operatorとしても提供 Project Quay - Apache 2.0ライセンスのOSS版 Docker Hubの代替として、エンタープライズ向けのアクセス制御やイメージ署名機能を備える https://quay.io/ https://www.projectquay.io/
-
gosec#Security #Programming Go言語のソースコード静的セキュリティ分析ツール Go AST(抽象構文木)を解析し、セキュリティ問題となりうるプログラミングミスを検出するSASTツール 主な特徴: -includeまたは-excludeフラグで検査ルールを選択可能 検出された問題はCWE(Common Weakness Enumeration)にマッピングされる AI統合によるセキュリティ修正提案(Gemini、Claudeに対応) GitHub Actionとしても利用可能 インストール: go install github.com/securego/gosec/v2/cmd/gosec@latest https://github.com/securego/gosec
-
Claude Code/Claude Code Security#Security Claude Code on the webに統合されたAI脆弱性スキャン機能。SASTのようなパターンマッチングではなくコードベース全体を推論し、ビジネスロジックの欠陥やアクセス制御の不備を検出する。多段階検証で偽陽性を除外し修正パッチを提案するが適用には人間の承認が必要 https://www.anthropic.com/news/claude-code-security
-
DevSecOps#Security #Continuous Integration #Continuous Delivery DevOpsにセキュリティを統合したアプローチ ソフトウェア開発ライフサイクル(SDLC)の全段階にセキュリティを組み込む 主要な原則 シフトレフトセキュリティ 開発初期段階からセキュリティを考慮 自動化 CI/CDパイプラインへのセキュリティテストの統合 SAST コラボレーション 開発・セキュリティ・運用チームの協働 https://www.devsecops.org/
-
クラウドネイティブで実現する マイクロサービス開発・運用 実践ガイド
-
Trivy#Security #Cloud Native #Continuous Integration コンテナイメージ、Kubernetes、IaC、リポジトリを対象とした包括的な脆弱性・設定ミス・シークレットスキャナー Aqua Securityによって開発されたオープンソースツール 主な機能: 脆弱性スキャン - コンテナイメージ、ファイルシステム、gitリポジトリ IaC設定ミス検出 - Dockerfile、Kubernetesマニフェスト、Terraformなど シークレット検出 - APIキー、パスワード等の機密情報 SBOM生成 - ソフトウェア部品表の作成と検出 ライセンススキャン DevSecOpsのシフトレフトセキュリティを実現し、CI/#Continuous Deliveryパイプラインに統合可能 SASTツールの一種として静的解析を実行する https://trivy.dev/ https://github.com/aquasecurity/trivy
-
SonarQube#Security #Testing #Continuous Integration #Programming コード品質とセキュリティを継続的に検査するオープンソースの静的解析プラットフォーム 35以上のプログラミング言語に対応し、バグ、脆弱性、セキュリティホットスポット、コードスメルを検出する 主な機能 Quality Gates - デプロイ可否を判断するカスタマイズ可能な品質基準 SAST機能 - 静的コード解析によるセキュリティ脆弱性の検出 AI CodeFix - AIによるコード品質・セキュリティ問題の自動修正提案 IDE統合 - リアルタイムフィードバックと修正提案 DevSecOpsのシフトレフトセキュリティを実現し、適応度関数のコード品質カテゴリに該当する https://www.sonarsource.com/products/sonarqube/