先日、Githubネイティブアプローチとして「Github CodeScan」をリリースしたGithubですが、「Githubマーケットプレイス」で利用することができる10の新しいサードパーティスキャンツールを紹介しています。
We launched code scanning last week, but there’s more!
— GitHub (@github) October 5, 2020
We’re introducing 10 new third-party scanning scanning tools available with code scanning, and available in the GitHub Marketplace.
Check it out: https://t.co/0y8rv4wqQo
Jose Palafox氏は投稿した記事の中で、オープンソースプロジェクトと静的アプリケーションセキュリティテスト(SAST)ソリューションとし、ここで紹介しているサービスはセキュリティ脆弱性をコードをコミットする前に特定し修正することができ、これを実現することができるのは、オープンスタンダードの静的分析結果交換フォーマット(SARFIF)を使用して、サードパーティセキュリティツールからのスキャン結果を取り込むことができるからであると紹介しています。
10の新しいサードパティセキュリティツール
checkmarx
Checkmarxは、静的でインタラクティブなアプリケーションセキュリティテスト、ソフトウェア構成分析、アプリケーションセキュリティトレーニング、およびソフトウェアの脆弱性によるリスクを軽減および修正するスキル開発を提供するセキュリティプラットフォームです。CI/CDのワークフローをより強力なものにしてくれる”お役立ちツール”です。
codacy
Codacyは、非常に優れてた静的コード分析/品質レビューツールです。コミット及びプルリク時のセキュリティ問題、コードの重複、コードユニットテストカバレッジの変更、さらにコードの複雑さに関する通知を取得することができます。
CodeScan
Salesforceプラットフォーム専用と標榜するSASTです。Salesforce言語と互換性があり、OWASPとSANSに準拠し、CI/CDパイプラインに簡単に組み込まれるとしています。
DefenseCodeThunderScan
DefenseCodeは、静的及び動的なアプリケーションセキュリティテストソリューションです。CI/CD Devopsにシームレスに統合することができ、SASTとDAST共に網羅することができるDefenseCodeは非常に魅力的です。サポートされている言語も豊富な点も嬉しい限りです。
「DefenseCodeThunderScan」は、DefenseCodeのSAST、「DefenseCode Web Security Scanner」はDASTです。
Fortify
2020 Gartner Critical Capabilities for Application SecurityTestingレポートで最高のスコアを獲得したセキュリティアプリケーションツールです。CI/CDチェーンに統合し、完全なワークフローの自動化を実現することができます。「Fortify Static Code Analyze」がSAST。「Fortify Software Security Center」はSAST、DAST、IAST、RASP、SCAをカバーするアプリケーションセキュリティテストを統合し、自動化することができるツールです。
Muse
muse.devによると、museはプルリクエストトリガーで動くバグキャッチャーといった表現で説明しています。museは高品質なコードを書くことを目的につくられた開発者向けのツールでコードレビュープロセスをシームレスに統合し、多くのアナライザースイートを使用して幅広いバグカテゴリを検査する環境を実現することができます。
Secure Code Warrior
DevSec/DevSecOpsを推進し、SDLCをSSDLCに変換すること掲げたアプリケーションセキュリティテストです。バグの発見と修正に時間を奪われない効率的でより安全なコーディングを目指しているそうです。サポートされている言語が多いは嬉しいポイント。ANSIBLE,Cloudformation,Docker,Kubernetes,Terraformも、カテゴリの数が限定されているようですが対応しているのも魅力です。
Synopsys
SDLCにセキュリティテストとコーディング品質の向上を実現することができるツールで、Github ActionsをAPIを介してSAST/SCAをトリガーとすることができます。話が少し外れてしまいますが、Polaris がCoverityやBlack Duckの分析結果をダッシュボードに統合できるのは嬉しいかもしれません。
Veracode
Veracodeは、SAST、DAST、SCA、ペネトレーションテストなどのテストタイプのアプリケーションステータスを1つの集中ビューで可視化できるSaaS型のアプリケーションセキュリティテストサービスです。
Xanitizer
Xanitizerは、RIGS ITによって開発された革新的な静的アプリケーションセキュリティテスト(SAST)ツールです。Githubのリポジトリで実行するとGithubno Security Tabでその結果を確認することができます。「OWASPベンチマークテストスイートで0%の誤警報・脆弱性を100%検出」を実証した発表しています。
10個のツールとその要約を紹介するだけで、大分長い記事になってしまいました。色々組み合わせることができる選択肢が増えたことはとても素晴らしいことです。時間が必要ですが、この中から制度とコストの両面からベストな組み合わせを探していく必要がありそうです。