ソースコードの脆弱性をクラウド上で解析できるサービスを提供組み込み開発ニュース

東陽テクニカは、ソースコードの脆弱性解析をクラウド上で実施できる「Cxクラウド」の提供を開始した。コンパイル前、ビルド前のソースコードの脆弱性を開発者自身で診断して安全性を早期に把握できるため、修正によるコストを削減する。

» 2018年01月23日 08時00分 公開
[MONOist]

 東陽テクニカは2018年1月5日、プログラムのソースコードの脆弱性解析をクラウド上で実施できる「Cxクラウド」の提供を開始した。提供方法および価格は、1アカウントで1プロジェクトを対象とし、解析が1回可能な「Cxクラウド 1スキャンサービス」が20万円、1カ月間であれば何回でも解析可能な「Cxクラウド 1カ月間パック」が50万円となっている。

 今回提供するCxクラウドは、イスラエルのソースコード解析ツールベンダー・Checkmarxが提供する脆弱性静的解析プラットフォーム「Checkmarx CxSAST」を、クラウド上で手軽に利用できるようにしたものだ。コンパイル前、ビルド前のソースコードの脆弱性を開発者自身で診断することで、ソースコードの安全性を早期に把握できるため、修正による手戻りコストの削減につながる。

photo 「Checkmarx CxSAST」の機能概要 出典:東陽テクニカ

 同サービスは、Java、JavaScript、VB.NET、C#など20種類のプログラミング言語とスクリプト言語に対応。SpringやNode.js+Expressなど広く利用されているフレームワークにも対応している。また、最適な修正ポイント候補を提案する機能を有し、PCI DSS(Payment Card Industry Data Security Standard)2やCWEなどのセキュリティガイドラインにも対応している。

 プログラムの脆弱性診断は、ソースコードのコンパイルおよびビルド後にそのアプリケーション解析を外部からレポートしてもらう方法が主流だ。しかしこの方法では、検出できる脆弱性が限られていたり、解析するのが完成間近のアプリケーションであったりするために、修正が発生した場合、コストの増大や製品リリースの遅延を招くといった課題があった。

Copyright © ITmedia, Inc. All Rights Reserved.