株式会社ユービーセキュアは、Webアプリケーション脆弱性検査ツール「Vex」の新バージョン 11.0.0.0をリリースいたしました。

 

修正内容

「Vex/VexCloud連携」を見据えた、検査結果連携ファイル出力機能を追加しました。

脆弱性を見つけるだけじゃない、管理する考え方へ

「大量の検査対象がある場合、どの対象にいつ検査を実施してどのくらい脆弱性がでたのか管理ができていない/大変だ」「対応状況が分からない」「定期検査する検査対象の変化(経年分析)ができていない」といったお悩みはありませんか? Vexはこれまで脆弱性を見つけることに注力してまいりましたが、近年では、脆弱性検査後の対応可否の管理や集計作業の煩雑さに関するお悩みを多くいただいています。そこで、改めて求められているツールの在り方を見直しました。検査結果の経年での集計や分析などの検査結果の管理に特化した機能を提供することで、Webアプリケーションのセキュリティを向上する活動全体を支援します。


図1:脆弱性を見つけるだけじゃない、管理する考え方へのイメージ

news_img01


「Vex/VexCloud連携」とは?

Vexの検査結果をVexCloudへ継続的に蓄積することで、複数プロジェクトの脆弱性検査結果の統合管理を実現する構想や機能のことです。
Vexの脆弱性検査は、高い精度で脆弱性を発見することができますが、その後の対応や管理において課題がありました。そこで、精度の高いVexの検査結果をVexCloudへ継続的に蓄積することで、検査精度と管理のしやすさを両立します。
また、VexCloudはSaaSとして提供されており、管理者、診断員、開発者というような複数のユーザで検査結果を共有し、修正状況を管理できます。
なお、VexCloud側の管理機能は現在開発中です。

今後の予定や詳細な機能については、コーポレートサイトでお知らせいたします。また、Vexユーザの方は、メールやVexサポートポータルも合わせてご確認ください。


図2:「Vex/VexCloud連携」とは?のイメージ

news_img02


検査結果連携ファイルの利用イメージ

Vexのプロジェクト一覧画面から、各プロジェクトの下図に示すプルダウンより連携ファイルを出力します。


図3:①プルダウンより連携ファイルを出力するイメージ

news_img03


出力したファイルをVexCloudへアップロードします。


アプリケーションの脆弱性対応をダッシュボードにて確認いただけます。※画像は開発時のものです。


図4:③ダッシュボードのイメージ

news_img04

 

その他更新内容

  • DOM Based クロスサイトスクリプティングを検出するシグネチャを追加しました。

 

今後も脆弱性検査と検査結果の管理をラクにする機能追加を続けてまいります。
「Vex/VexCloud連携」機能に関する情報はVexサポートポータルに随時記載いたしますので、これからのVexとVexCloudのアップデートにご期待ください。

 

Webアプリケーション脆弱性検査ツール「Vex」について