Code Dx ～ソフトウエア脆弱性管理やってますか～

こんにちは。今回は、技術担当から、ソフトウエア脆弱性管理の統合プラットフォームであるCode Dxについてのご紹介です。

「脆弱性」というキーワードに対しては、開発に手一杯でまだそこまで考えが及ばない、あるいは、何とかやっているがどこまでやるかが難しい、など、様々な反応をお客様からお聞きします。Code Dxは、そういった様々な状況のお客様に対して、脆弱性管理の支援をご提供します。

Code Dxが重視しているのは、単に脆弱性検出結果を羅列するのではなく、セキュリティ管理者が、優先度付けを実施して、開発者を含む開発環境にフィードバックすることにより、効率的な脆弱性対策実施を可能とすることです。Code Dxでは、そのための支援機能が充実しています。

実際にCode Dxを使う場面ですが、右図のように、既存の開発環境で脆弱性検出ツールをお使いであれば、そのツールの実行結果をCode Dxに入力するだけです。図では「SAST(Static Application Security Testing)」と書いていますが、約８０種類以上のツール実行結果を入力可能です。
（Code Dxと開発管理環境の関わり詳細については別の機会に。。。）

もし、これから脆弱性管理を導入される場合で、脆弱性検出ツールもこれから検討、という場合でもご心配無用です。Code Dxには最初から各種開発言語対応のSASTツール等が10数種類以上バンドルされており、これらを活用することで、容易に脆弱性管理をスタートすることができます。

さて、Code Dxが想定する脆弱性検出ツールとしてはどのような種類があるのか、簡単にご紹介しましょう。

セキュリティテストについては、一般的には左図のような区分けがされる事が多いようです。通常、個々のツールは、図の区分のどこかを集中的にチェックするようになっています。 Code Dxがサポートする脆弱性検出ツール群全体では、これらの領域のかなりをカバーしています。（サポート対象のツールについては、記事末尾のリンクからカタログ等をご参照下さい）

大まかに、図の上の方のテストほど、コストや時間が掛かります。また、テストの種類により、そのテストを実施可能な開発フェーズも異なります。
開発対象のソフトウエアに応じて、テストの種類や実施タイミングを計画・実施する必要があります。
Code Dxは、目的に応じた脆弱性検出ツール（1種類以上）を使う場合に、それらツールの実行結果について、結果の統合・優先度付けの支援や、脆弱性対策の支援を行うことにより、脆弱性管理を効率化・高速化します。

これから脆弱性管理導入をお考えのお客様には、Code Dxのバンドルツールを使って、上図のSAST/Unit Testingから着手される事をお勧めしています。既に、ツールをお持ちのお客様には、図の複数の領域を、より広げて実施されると良いと考えます。

今回、Code Dxに関する初回の投稿で、形式通りのご説明になってしまいました。今後、機会を見つけて、Agile/DevOpsの現場への展開方法や、活用上のTips的なこと、時々は、少し広くソフトウエア開発についてのつぶやき等、ヒントになるようなことを発信できれば、と考えています！

Code Dx
リンク