“後付け”のセキュリティテストから脱却するには？　3つの視点で解決策を紹介

　ソフトウェア開発におけるセキュリティテストの重要性は年々増加している。セキュリティテストは一般的には完成品に対して行うため、開発工程の最終盤で“後付け”の形で実施するケースも多い。

　リリース直前のセキュリティテストでは、問題があっても「リリースしても問題ない理由付けの検討」をし、問題を認識したままリリースしてしまうケースがある。この場合、成果がゼロで、コストだけが発生するテストとなってしまう。あるいは、修正が発生してテスト工数が増加し、リリースが遅延するといった事態も起きがちだ。そのため、セキュリティテストはより早い段階で実施するのが望ましい。

　本資料では、前工程で行うべき「セキュアコーディング」「コードファジング」「OSS脆弱性の検出」の3つの脆弱性対策に着目。それぞれのソリューションとして、「効率的なセキュアコーディング規約準拠の手法」「自動テスト生成による網羅的なCWEの脆弱性検出とテストカバレッジ最大化」「SBOM作成による複雑なソフトウェアに含まれるOSSのライセンス把握／脆弱性検出／リスク可視化」について具体的に紹介する。