ContrastはSASTの対象を新たに30言語に拡大

Contrast Security は、30の言語とフレームワークの静的アプリケーションセキュリティテスト(SAST)に対応するようになりました。業界トップレベルのスピードと精度で現代の開発パイプラインのコードスキャンが可能です。

なぜこれが重要か？ 

SASTは、DevSecOpsの実施において欠かせない要素です。しかし、企業はあまりにも長い間、時間がかかる上に不正確である、扱いにくくて時代遅れのSASTツールに縛られてきました。そのようなツールによって何千もの過検知が発生し、開発者は手に負えなくなり、脆弱性を見逃す可能性があります。アプリケーションのスキャンに数時間から数日かかることもあり、開発プロセスが遅れる可能性もあります。多くのSASTツールは不完全であり、コード内の全ての脆弱性を検出できないため、企業は攻撃に対して脆弱なままです。対応する言語が不完全なSASTツールを導入していることは、開発コストの上昇、脆弱性の不完全な検出、風評被害などにつながる可能性もあります。

ContrastのSASTソリューションは、より幅広いプログラミン言語とフレームワークをカバーするようになりました。これにより、企業は自分達のコードベースをカバーできます。そして、脆弱性を正確に検出し、高速かつ精度の高いスキャンを使用することで、確信を持ってパイプラインに導入することができます。開発部門が、C、C++、Swift、ABAP(Advanced Business Application Programming)、GO、COBOLなどの言語やフレームワークに対応できるようになります。さらなるプログラミング言語のサポートによって、企業はソフトウェア開発ライフサイクル(SDLC)の適切な箇所とタイミングでセキュリティ脆弱性を特定・修正し、業界標準や規制に準拠することができます。

SASTをアプリケーションセキュリティ(AppSec)プログラムに追加することで、既存のIAST(インタラクティブアプリケーションセキュリティテスト)による検査を補完できるようになります。

ContrastのSASTソリューションは、IASTでカバーできない部分を補い、以下のような点において、安全なアプリケーションのライフサイクル管理を実現することができます。

• レガシーアプリケーションを解析(レガシーアプリケーションは、企業のアプリケーションポートフォリオの重要な部分となる場合がある)
• 現在エージェントを組込んで検査ができないクライアント側のアプリケーションを解析
• アプリケーションにエージェントを組込んで解析する前に、SDLCの早い段階でコードを解析するようにスマートにシフト
• コンプライアンス要件への対応

ContrastのSASTソリューションを既存のIASTと統合することで、企業はさらに包括的なセキュリティカバレッジを得ることができます。

結局のところ、IAST ツールはアプリケーションコードで検出される脆弱性のすべてを捕えることはできないかもしれませんし、 SASTツールは実行時に検出される脆弱性のすべてを捕えることはできないかもしれません。しかし、両方のツールを組み合わせることで、アプリケーションのセキュリティ状況を完全に把握することができます。

Contrast Scanの新しいプログラミング言語とフレームワークのデモは、 こちらをクリックしてお問い合わせください。

Read more:

• Product page: Contrast Scan
• Contrast Scan Data Sheet: Pipeline-Native Static Application Security Testing 
• White Paper: Modern Application Security Scanning
• Blog: SAST, DAST, and IAST Security Testing