株式会社ユービーセキュア(本社:東京都中央区、代表取締役社長:松田 陽子、以下「ユービーセキュア」)は、年度末に向け開発リソースが厳しい状況のなかでもセキュリティレベルを担保した開発サイクルを実現するソースコード診断を、期間限定にてお手頃な価格で提供するキャンペーンを実施します。
ソースコード診断とDAST※を併用することで、手戻り工数の削減とセキュリティ品質を担保した開発サイクルを実現する事も可能となります。
※DAST(Dynamic Application Security Testing):アプリケーションが実際に動いている状態で、どのようなセキュリティ上の脆弱性があるのかを検出する手法
ソースコード診断とは
Webアプリケーションの動作ではなく、ソースコードそのものを調査し、構造的な欠陥の有無を診断するため、外部からの診断では発見することができないセキュリティの脆弱性を洗い出すことができます。
さらに、実際の動作環境に対して検査を行う一般的な動的診断と異なり、ソースコードさえあれば診断が可能なため、診断用の検証環境の構築や通信経路の確保といった追加作業が不要となり、簡単に診断を行うことができます。
■ ソースコードならではの強み
通常の外部からの診断だけでは発見が難しい脆弱性も、ソースコードを直接診断することで洗い出すことが可能です。
例えば、適切な乱数生成を行っているか、正しく例外処理が実装されているかといった、内部ロジックに起因する問題やリスクを発見することができます。
■ 多数のプログラミング言語に対応
20種類のプログラミング言語やフレームワークに対応しており、お客様のご利用されているシステム環境に合わせて柔軟に診断を実施することが可能です。
対応言語例:Java※、C/C++、PHP、Ruby、Python など
※Javaは、Oracle Corporation 、その子会社及び関連会社の米国及びその他の国における登録商標です。
■ 診断環境の準備等が不要
通常のWeb アプリケーション診断では、診断対象となる検証環境の構築や、ネットワークの疎通確認など、診断のための準備作業が必要となります。
一方、ソースコード診断では、対象となるソースコードがあれば、すぐに診断を行うことが可能なため、診断に伴う作業コストを抑えることができます。
ソースコード診断の4つのサービスレベル
※精査:ツールを使用したスキャンでは、危険度が高いものから低いものまで様々な検出をします。これらの検出事項は多くの場合、過検知、誤検知(事象に対して過敏な反応や取り違え)が含まれています。これらをセキュリティ専門家によるレビューを行うことで、可能な限り正確な検出事項のみを明らかにすることを「精査」と言います。
期間限定年度末キャンペーン
期間限定にてお手軽な価格で診断可能なキャンペーンを実施します。
期間:2023年3月末までに実施完了の案件
価格:診断対象10万行程度のLiteプランを298,000円(税抜)にて提供します。その他プランも10%offにて提供します。
サービス、キャンペーンの詳細につきましては以下のページよりご確認ください。
https://www.ubsecure.jp/campaign/202301_source_code
