ソースコードレビュー

開発中のプログラムに潜む脆弱性を調査し、対策を取る

サービス概要

ウェブアプリケーションに内在している脆弱性を狙った攻撃が増えています。

これらの多くは、新規開発、追加改修の過程でソースコード内に作りこまれてしまった脆弱性となります。特にリリース後に脆弱性が発見された場合、脆弱性の内容によってはシステム設計から見直す必要があり、多大な追加費用が発生する場合があります。このため、リリース前に「ソースコードレビュー」を実施することで、事前に作りこまれてしまった脆弱性を網羅的に発見し、ウェブアプリケーションに内在する脆弱性を軽減することが必要です。

インフォセックの「ソースコードレビュー」は、ソースコードに内在する脆弱性を網羅的に洗い出し、問題点に対する必要な対策をご提案するサービスです。

特長

インフォセックの「ソースコードレビュー」は、豊富なセキュアコーディングの経験を持つ専門家が、ソースコード診断ツールによる検出結果に対する検証、マニュアル作業(手作業)による目視レビューにて、ソースコード内の問題を洗い出します。洗い出された問題に基づいた、具体的な対策例を提示することにより、開発者の問題に対する理解度を深め、効率的な改修作業が実施できるよう支援します。

また、インフォセックでは「ソースコードレビュー」を担当する専門家は、ウェブアプリケーションセキュリティ診断の実績も豊富なため、ウェブアプリケーションに作りこまれやすい問題も洗い出すことが可能です。

「ソースコードレビュー」で洗い出された問題に対して対策が施されているか、ウェブアプリケーションセキュリティ診断による動的な診断と組み合わせることも可能です。

導入フロー

お問い合わせから導入、報告会までの導入フローはこちらを参照ください。

診断例

ソースコードをソースコード診断ツールでスキャンする場合、まずプログラムをビルドします。
その際、プログラムが適切にビルドできる環境が整っている必要があります。開発言語によっては、
お客様の(対象プログラムやライブラリにアクセス可能な)開発機にソースコード診断ツールをインストールし、オンサイト(開発環境)でスキャンのみ実施させていただく場合があります。

サンプル

サンプル