Contenu connexe
Similaire à SecureAssist Introduction (20)
Plus de Asterisk Research, Inc. (10)
SecureAssist Introduction
- 1.
脆弱性は元から断たなきゃダメ!
SecureAssist
IDE
Plugin
and
Enterprise
Portal
Introduc6on
ASTERISK
RESEARCH,
INC.
株式会社アスタリスク・リサーチ
Cigital社チャネルパートナー
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
1
- 2. SecureAssist
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
2
プラグイン
レビュー対象のファイル・タイプ
IDE(統合開発環境)
Java
JEE
/
JSP
/
XML
/
FTL
/
ProperOes
PHP
Eclipse
RAD
MyEclips
SpringSource
Tool
SuiteTM
IDE
.NET
C#
/
VB.NET
/
ASPX
MicrosoB
Visual
Studio
はVisual
Studio、Eclipseのプラグインとして提供されます。
開発者はいつでも手元でコードレビューをさせることができるので、脆弱性のもと
になるプログラムコードをビルド前に見つけ、修正・確認することができます。
まるで、一流のプログラミングセキュリティ・コーチを開発者ひとりひと
りの横に配置するような、効率・効果の高いソリューションです。
サポートしている技術
ジミニー・クリケット
- 3. |
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
3
リアルタイムコードレビュー・リスクレベル・ガイダンス
解説・ガイダンスや
サンプルコード
脆弱性とコードの対応による
リスクレベルの可視化
IDEプラグインによる
リアルタイムな
コードレビュー
- 4. |
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
4
入力値バリデーションならびに
出力値のエンコードを徹底
セキュアでないデータの取り扱い
による問題を回避
正しいコーディング手法の
導入・徹底
Cross-‐Site
Scrip6ng*
>
Output
Sent
to
Browser
>
Output
Data
in
Web
Page
>
DOM
Object
>
HTTP
Header
ManipulaOon
>
GET
Requests
>
HTML
Comments
in
JSP
or
PHP
File
>
Hidden
Field
>
Data
Usage
from
HTTP
Request
>
Output
Encoding
Set
to
False
SQL
Injec6on*
>
Dangerous
Method
Calls
>
Database
Query
ManipulaOon
>
Untrusted
Data
Source
for
Query
>
Dynamic
Database
Query
Path
Manipula6on*
>
UnsaniOzed
Data
Usage
>
Directory
Call
with
Dynamic
Inputs
Denial
of
Service
AJack
>
Hanging
JRE
>
Dynamic
Web
Page
Content
>
Processing
SensiOve
Data
>
Race
CondiOon
>
Struts
Config
>
XML
A_acks
File
Input/Output
>
Exposed
Buffers
>
Temporary
Files
in
Shared
Directories
Other
Unvalidated
User
Input*
>
LDAP
InjecOon*
>
Xpath
InjecOon*
>
Command
InjecOon*
>
Remote
Code
ExecuOon
>
Javax
Persistence
Security
Insecure
Data
Storage
>
Insecure
File
Modes
>
No
Access
Control*
>
User
CredenOals
Stored*
>
Hardcoded
Password*
>
Access
to
Cache
>
HTTP
Auth
CredenOals
Stored*
Sensi6ve
Informa6on
Leakage
>
Dynamic
Web
Page
Content
>
System
InformaOon
Leak
>
Exposure
of
AuthenOcaOon
Objects
>
Use
of
printStack
Trace
>
ExcepOon
Handling
>
Autocomplete
Sebng
>
External
Storage
Used
>
Screen
View
Captured
>
Web
Page
Saved
to
Device
>
HTML
Form
Data
>
Insecure
ConfiguraOon
in
Manifest
Weak
Cryptography*
>
Security
Features
>
Weak
Cryptographic
Hash
>
Weak
EncrypOon
>
Outdated
Cipher
>
Weak
Algorithm
>
Secure
Number
RandomizaOon
>
Insufficient
Key
Size
>
Inadequate
RSA
Padding
Trust
Boundary
Viola6ons
>
User
Supplied
Data
to
Beans
>
Calls
AffecOng
CURL
Requests
>
Untrusted
Data
Source
>
UnsaniOzed
String
>
InjecOon
in
Email
>
Points
of
Interest
>
Entry
Point
ViolaOon
>
Socket
ConnecOon
Timeout
>
Socket
Stream
Timeout
Unvalidated
Redirects
&
Forwards
>
URL
RedirecOon*
>
User
RedirecOon*
Thread
APIs
>
Call
to
NoOfy()
>
InvocaOon
of
Thread.stop()
>
InvocaOon
of
Thread.run()
Struts
Misconfigura6on
>
XML
InjecOon
>
XML
DTD
A_ack
>
Missing/Duplicate
Form
Bean*
>
Missing
Forward
Name
A_ribute*
>
Missing
Path/Type
A_ribute*
>
Unnecessary
A_ribute
>
Required
Input
A_ribute
>
Invalid
ExcepOon
Scope
>
Missing
Form-‐Property
Type
>
Dangerous
RelaOve
Path
>
AcOon
Not
Validated
Configura6on
>
ASP.NET
ConfiguraOon*
>
PHP
ConfiguraOon*
>
Environment
Variable
Value
>
Session
Timeout
ConfiguraOon*
>
Session
InacOve
Interval*
>
ImplementaOon
Time
Logic
Flaws
>
Call
to
ReadLine
>
Race
CondiOon
>
Hidden
Field
Improper
Error
Handling
>
Unspecified
Error
Page
>
JSP
Defines
Error
Page
>
JSONRPC
Security
Log
Handling
>
UnsaniOzed
Data
Wri_en
to
Logs
>
Private
User
Data
Logged
Cookie
Security*
>Overly
Broad
Paths
>
Insufficient
Transport
Layer
ProtecOon
>
Session
Management
Resource
Handling
>
File
Input
Output
>
Hibernate
Security
>
Resource
Not
Closed
in
Finally
Block
*2013
OWASP
Top
10の関連項目
SecureAssistにより、主な脆弱性攻撃によるリスクを80%減少させることが可能になります。
OWASP
Top
10
important
risksやCWE
Top
25に対応
- 6. チーム統合機能:
IDE
Plugin
and
Enterprise
Portal
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
6
SecureAssist
Enterprise
Portal
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE(統合開発環境)Pluginの機能
・Work
Faster
・Work
Smarter
・Keep
security
in
mind
より早く
より効率良く
セキュリティを常に意識
・Ac6onable
intelligence
利活用可能な統計情報
・Simplify
updates
アップデートの簡略化
・Manage
users
ユーザーの管理
・Deliver
Review
RuleSet
独自ルールセットの配布
・Deliver
Code
Guideline
ガイドドキュメントの配布
- 7. Enterprise
Portal管理画面
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
7
• プロジェクトやユーザーごとの
統計情報、可視化、および
レポートの出力
• チーム独自のガイドラインの
設定、リアルタイム反映
• ユーザーの管理とプラグイン
のライセンス配布
チーム全体のセキュアコーディング状況を集約する機能
- 9. セキュア開発の段階をエンパワーする
開発者のためのSecureAssist
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
9
Planning
&
Requirements
Design
&
Architecture
Development
TesOng
ProducOon
Maintenance
SAST
静的解析
DAST
動的解析
要因の
85%
システム脆弱性の85%は
開発段階に起因
• IDEでコードレビュー
• チーム統合機能
• コストパフォーマンス
開発レビュー
MOINTORING
ライフサイクル設計・教育
- 10. 脆弱性は元から断たなきゃダメ!
システム脆弱性の85%は開発段階に起因します。
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
10
ソフトウェア開発におけるセキュリティ対応は、開発プロセスの後
工程になればなるほどリスクが高く、手戻りの時間もコストも高く
つきます。
開発チームがソースコードにもっともかか
わっているタイミングで問題の原因を取り
除くことが必要であり、対策の効率は飛躍
的に向上します。
解決策:
開発者全員が自分で使える
Reviewツール。
5X
10X
30X
Coding
Integra6on/
component
tes6ng
System
tes6ng
Produc6on
85%
15X
当段階で発生した脆弱性(%)
当段階で発見された脆弱性(%)
当段階での脆弱性修正コスト
- 11. SecureAssist
開発元
米Cigital社のご紹介 cigital.com
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
11
• 世界最大級の、ソフトウェアセキュリティに特化した
コンサルティング・サービス提供会社
• 1992年に創業
• 世界で最初の、静的コード解析の商用ツールを開発、
主要な静的解析ツールに採用されている。
• ソフトウェアセキュリティ業界のオピニオンリーダー
• OWASP
Global
Supporter
- 13. Cigital社のCTO
Gary
McGraw氏
Gary
McGraw,
Ph.D.(ゲイリー・マグロー)
-‐ Cigital,
Inc. CTO
• セキュアな開発の方法論の第一人者
• “Building
Secure
SoBware
and
SoBware
Security”
(邦題:Building
Secure
Soqwareーソフトウェアセキュリティについて開発者が知っているべ
きこと)などの著者
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
13
「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナー
としてCigitalを選択してくれたことをうれしく思います。すぐれたソフトウェアセキュリティを実現す
る市場を開発することは、実社会において、まさに望まれていることであり、私たち両者がともに
長い期間目指してきたものです。」 -‐
Gary
McGraw,
Cigital,
Inc.
CTO
- 15. Thanks
• 導入のご相談、お見積もり、試用期間
30日のフル機能検証
は無料です。
• 活用手段はさまざま
– 開発会社様へのご提供
– コンサルティングとのコラボレーション
– セキュア開発ソリューションへの組み込み
– 教育ツールとしてのご活用
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
15
Cigital社チャネルパートナー
アスタリスク・リサーチ
アプリケーションセキュリティ・チームをよろしくお願いします。