IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
ソフトウェアの脆弱性を低減する「真のソースコード解析」とは?
安全で低コストなソフトウェアの開発には、開発標準を定め、その準拠度を上流工程で確認する手法が有効だ。特に、コンパイル作業不要のソースコード解析が注目されており、中でも“真のソースコード解析「TSCA」”は、最も論理的でユーザビリティにも優れているといわれる。
コンテンツ情報
| 公開日 | 2015/05/14 | フォーマット | 種類 | 技術文書・技術解説 |
|
|---|---|---|---|---|---|
| ページ数・視聴時間 | 18ページ | ファイルサイズ | 417KB | ||
要約
ソフトウェアの脆弱性検査手法では、完成したアプリケーションの脆弱性診断である「ブラックボックス検査」が主流だ。しかし昨今、検査精度を高め、修正コストの低減も期待できる、ソースコードに対する検査手法が注目されている。「ホワイトボックス検査」と呼ばれるこの手法は、開発の上流工程から使用でき、修正のための手戻り負担も軽い。そのため緻密な検査を何度も繰り返し実行できるというメリットがある。
しかし現状のホワイトボックス検査ツールは、ソースコードといっても、バイナリまたはバイトコードなどの、コンパイル作業を通した後のコードを解析する「Binary Analysis/Byte-Code Analysis(BCA)」に分類されるものがほとんどだ。これらのツールの問題点は、コンパイルによって隠されてしまったコードの中にある脆弱性を発見できないことや、求められる開発速度に対応しにくいことが挙げられる。
本ホワイトペーパーは、ホワイトボックス検査の中でも、コンパイラによって処理される前のソースコードそのものを解析する「TSCA(True Source Code Analysis)」について解説したものだ。テストケースを読みながら容易に理解できる構成となっている。
しかし現状のホワイトボックス検査ツールは、ソースコードといっても、バイナリまたはバイトコードなどの、コンパイル作業を通した後のコードを解析する「Binary Analysis/Byte-Code Analysis(BCA)」に分類されるものがほとんどだ。これらのツールの問題点は、コンパイルによって隠されてしまったコードの中にある脆弱性を発見できないことや、求められる開発速度に対応しにくいことが挙げられる。
本ホワイトペーパーは、ホワイトボックス検査の中でも、コンパイラによって処理される前のソースコードそのものを解析する「TSCA(True Source Code Analysis)」について解説したものだ。テストケースを読みながら容易に理解できる構成となっている。