Mais conteúdo relacionado Semelhante a SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは (20) Mais de Asterisk Research, Inc. (10) SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは1.
アプリケーション・セキュリティを
実現するベストプラクティスとは
SecureAssist
IDE
Plugin
and
Enterprise
Portal
Introduc6on
ASTERISK
RESEARCH,
INC.
株式会社アスタリスク・リサーチ
Cigital社チャネルパートナー
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
1
2015/9/3
2. SDLCにおける開発段階のインパクト
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
2
Planning
&
Requirements
Design
&
Architecture
Development
TesPng
ProducPon
Maintenance
SAST
静的解析
DAST
動的解析
リスクの
80%以上
はこの段階に
起因
コーディング
レビュー
MOINTORING
ライフサイクル設計・教育
施策
開発品質阻害要因
• スケジュール圧力
• コスト圧力
• スキルのばらつき
対策が後手になるほど
リスク対策・時間・コスト
は高額に
フェーズ
3. What
is
SecureAssist
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
3
プラグイン
レビュー対象のファイル・タイプ
IDE(統合開発環境)
Java
JEE
/
JSP
/
XML
/
FTL
/
ProperPes
PHP
Eclipse
RAD
MyEclips
SpringSource
Tool
SuiteTM
IDE
IntelliJ
(coming
soon)
.NET
C#
/
VB.NET
/
ASPX
Microso
Visual
Studio
は、IDE
Visual
Studio、Eclipseのプラグイン方式を採用。
開発者は、いつでも、自分自身のコードを
”レビュー”
これにより、リスクの高い、脆弱性のもとになるプログラムコードをコミット
する前、ビルドする前に見つけ、修正することができます。
安全なコードの書き方も身につき、安全なコーディングも身につきます。
一流のプログラミングセキュリティ・コーチを開発者ひとりひとりに配置す
るような、効率、コストパフォーマンスの高いソリューションです。
4. |
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
4
What
is
SecureAssist
リアルタイムコードレビュー・リスク指摘・修正ガイダンスツール
解説・ガイダンスや
サンプルコード
脆弱性とコードの対応による
リスクレベルの可視化
IDEプラグインによる
リアルタイムな
コードレビュー
5. SecureAssist
Enterprise
Portalで統合します
チーム全体のセキュアコーディング状況を集約する機能
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
5
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
・Deliver
Review
RuleSet,
Code
Guideline
独自ルールセット・ガイドドキュメントの配布
・Ac6onable
intelligence
利活用可能なプロジェクトごとの統計情報
・Manage
user
ac6vi6es
and
licenses
ユーザーの管理
プロジェクト
A
プロジェクト
B
品質管理
運用・企画・マネージメント
※
SecureAssistシステムは、スキャンなどの機微情報を製品提供元には送りません!
6. |
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
6
入力値バリデーションならびに
出力値のエンコードを徹底
セキュアでないデータの取り扱いによる問
題を回避
正しいコーディング手法の
導入・徹底
Cross-‐Site
ScripPng*
>
Output
Sent
to
Browser
>
Output
Data
in
Web
Page
>
DOM
Object
>
HTTP
Header
ManipulaPon
>
GET
Requests
>
HTML
Comments
in
JSP
or
PHP
File
>
Hidden
Field
>
Data
Usage
from
HTTP
Request
>
Output
Encoding
Set
to
False
SQL
InjecPon*
>
Dangerous
Method
Calls
>
Database
Query
ManipulaPon
>
Untrusted
Data
Source
for
Query
>
Dynamic
Database
Query
Path
ManipulaPon*
>
UnsaniPzed
Data
Usage
>
Directory
Call
with
Dynamic
Inputs
Denial
of
Service
Aeack
>
Hanging
JRE
>
Dynamic
Web
Page
Content
>
Processing
SensiPve
Data
>
Race
CondiPon
>
Struts
Config
>
XML
Aeacks
File
Input/Output
>
Exposed
Buffers
>
Temporary
Files
in
Shared
Directories
Other
Unvalidated
User
Input*
>
LDAP
InjecPon*
>
Xpath
InjecPon*
>
Command
InjecPon*
>
Remote
Code
ExecuPon
>
Javax
Persistence
Security
Insecure
Data
Storage
>
Insecure
File
Modes
>
No
Access
Control*
>
User
CredenPals
Stored*
>
Hardcoded
Password*
>
Access
to
Cache
>
HTTP
Auth
CredenPals
Stored*
SensiPve
InformaPon
Leakage
>
Dynamic
Web
Page
Content
>
System
InformaPon
Leak
>
Exposure
of
AuthenPcaPon
Objects
>
Use
of
printStack
Trace
>
ExcepPon
Handling
>
Autocomplete
Seing
>
External
Storage
Used
>
Screen
View
Captured
>
Web
Page
Saved
to
Device
>
HTML
Form
Data
>
Insecure
ConfiguraPon
in
Manifest
Weak
Cryptography*
>
Security
Features
>
Weak
Cryptographic
Hash
>
Weak
EncrypPon
>
Outdated
Cipher
>
Weak
Algorithm
>
Secure
Number
RandomizaPon
>
Insufficient
Key
Size
>
Inadequate
RSA
Padding
Trust
Boundary
ViolaPons
>
User
Supplied
Data
to
Beans
>
Calls
AffecPng
CURL
Requests
>
Untrusted
Data
Source
>
UnsaniPzed
String
>
InjecPon
in
Email
>
Points
of
Interest
>
Entry
Point
ViolaPon
>
Socket
ConnecPon
Timeout
>
Socket
Stream
Timeout
Unvalidated
Redirects
&
Forwards
>
URL
RedirecPon*
>
User
RedirecPon*
Thread
APIs
>
Call
to
NoPfy()
>
InvocaPon
of
Thread.stop()
>
InvocaPon
of
Thread.run()
Struts
MisconfiguraPon
>
XML
InjecPon
>
XML
DTD
Aeack
>
Missing/Duplicate
Form
Bean*
>
Missing
Forward
Name
Aeribute*
>
Missing
Path/Type
Aeribute*
>
Unnecessary
Aeribute
>
Required
Input
Aeribute
>
Invalid
ExcepPon
Scope
>
Missing
Form-‐Property
Type
>
Dangerous
RelaPve
Path
>
AcPon
Not
Validated
ConfiguraPon
>
ASP.NET
ConfiguraPon*
>
PHP
ConfiguraPon*
>
Environment
Variable
Value
>
Session
Timeout
ConfiguraPon*
>
Session
InacPve
Interval*
>
ImplementaPon
Time
Logic
Flaws
>
Call
to
ReadLine
>
Race
CondiPon
>
Hidden
Field
Improper
Error
Handling
>
Unspecified
Error
Page
>
JSP
Defines
Error
Page
>
JSONRPC
Security
Log
Handling
>
UnsaniPzed
Data
Wrieen
to
Logs
>
Private
User
Data
Logged
Cookie
Security*
>Overly
Broad
Paths
>
Insufficient
Transport
Layer
ProtecPon
>
Session
Management
Resource
Handling
>
File
Input
Output
>
Hibernate
Security
>
Resource
Not
Closed
in
Finally
Block
*2013
OWASP
Top
10の関連項目
テストケースカバレッジ:OWASP Top 10, CWE Top 25に対応。PCI DSSにも効果的。
7. 開発成果物の価値が効率良く向上するサイクル
見つけるだけではなく、修正し、改善していく
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
7
1.
Find
risky
coding
and
vulnerabiliPes
earlier
セキュリティ問題を潜在を早期発見
2.
Fix
&
Prevent
them
リスクのあるコーディングを修正・未然に防ぐ
3.
Improved
educa6on
and
quality
throughout
SDLC
開発ライフサイクルを通してソフトウェア品質向上
8. 関連サービスのコストイメージ
#
Item
Cost
ツール
SecureAssist
ケース:スターターパック
最小構成: 20
ID
Rulepack
Configurator
Enterprise
Portal
※
ID
数により単価は安くなります。
ケース-‐1.
サブスクリプション購入
700k
JPY
(スターターパック/年)
ケース-‐2.
パーペチュアル購入
1350k
JPY
(スターターパック/保守:350k/年)
ベーシック
サポートオプション
初期導入支援(オンライン)
ユーザーセミナー(2h程度)
管理者セミナー(2h程度)
アクティベーション支援
300k
JPYより
アドバンスド
サポートオプション
(ベーシックサポートオプションを含む)
ルール・ガイド・コンフィギュレーション支援
ユーザフォロー支援
システムアップデート支援
500k
JPYより
SDLCトレーニング
・オンライン
・オンサイト
チーム全員向け:セキュリティ対策セット
セキュリティリーダー育成セット
セキュア設計・開発、モバイル開発
PCI
DSS準拠トレーニング
ご相談
テストサービス
Test
As
A
Service
(3D
Unlimited)
ご相談
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
8
9. SecureAssist
開発元
米Cigital社のご紹介
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
9
• 1992年に創業・世界最大級の、ソフトウェアセキュリティに特化したコンサルティング・サービ
ス提供会社。
• 世界で最初の、静的コード解析の商用ツールを開発、主要な静的解析エンジンに採用。
• OWASP
Global
Supporter
Applica6on
Security
Tes6ng
Penetra6on
Tes6ng
SoPware
Security
Strategy
Architecture
Analysis
Secure
Development
Training
• Fortune
500も含む大手企業270社以上
• 金融機関の上位10社の内9社
• 米国銀行の上位20銀行の内16銀行
• ソフトウェアセキュリティ会社の上位3社
• 保険会社の上位3社
• 米国最大のゲーム会社
• テクノロジー会社の上位10社の内5社
10. Cigital社 CTO
Gary
McGraw氏
Gary
McGraw,
Ph.D.(ゲイリー・マグロー)
-‐ Cigital,
Inc. CTO
• セキュアな開発の方法論の第一人者
• “Building
Secure
SoPware
and
SoPware
Security”
(邦題:Building
Secure
Sowareーソフトウェアセキュリティについて開発者が知っているべ
きこと)などの著者
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
10
「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナー
としてCigitalを選択してくれたことをうれしく思います。すぐれたソフトウェアセキュリティを実現す
る市場を開発することは、実社会において、まさに望まれていることであり、私たち両者がともに
長い期間目指してきたものです。」 -‐
Gary
McGraw,
Cigital,
Inc.
CTO
12. “Enabling
Security
for
Developers”
の実現に向けて
「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナー
としてCigitalを選択してくれたことをうれしく思います。優れたソフトウェアセキュリティを実現する
市場を開発することは実社会においてまさに望まれていることであり、私たち両社がともに長い
期間目指してきたものです」
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
12
Chief
Technology
Officer
Gary
McGraw(ゲイリー・マグロー)
代表取締役
岡田 良太郎
「この提携により、当社がこれまでお客様に提供してきたコンサルティングならびにトレーニング
のサービス・ラインアップに、Cigital社のソリューションを加わることとなり、さらにより多くの開発
チームに貢献できるようになります。これにより、当社のセキュリティ事業分野のミッションである
“enabling
security
for
developers”を実現し、ひいては安全かつ安定的に持続可能なインター
ネット社会の実現に貢献できればと考えています」
13. Thanks
• 導入のご相談、試用期間
30日のフル機能検証は無料です。
USAGE:
– サービス提供者様、開発会社様へのご提供
– コンサルティング、教育プログラムとのコラボレーション
– エンジニア評価、プロジェクト・プロダクト品質の可視化
– 開発・品質管理・運用チームの、共通指標の導入と推進
|
Enabling
Security
for
Developers
|
©2015
Asterisk
Research,
Inc.
13
Cigital社チャネルパートナー
アスタリスク・リサーチ
heps://www.asteriskresearch.com/download/