- ツール
- ソフトウェア品質・脆弱性管理ツール Code Dx
70以上の検証ツール
(SAST/DAST/IAST/NetSec/ソフトウェア構成分析)
結果を1つにまとめて表示。
レビュー時間を劇的に短縮。
- こんな課題はありませんか?
-
- 検証ツールを増やしたいが、結果の管理が大変で導入できない…
- 検証ツールのレビューや取りまとめに、膨大な時間がかかっている…
- 脆弱性の基準がなく、セキュリティテストに不安がある…
Code Dxとは
複数の検証ツール結果を
まとめて1つに表示。
高品質でセキュアな
プログラミング開発を実現。
Code Dxは、複数の検証ツール結果を取り込み、重複を除外した脆弱性リスク分析の正規化と相関を自動で行い、結果を1つにまとめて表示します。
1つにまとめられた結果では、検証ツール、検出手法、重大度レベル、ツール間のオーバラップ、業界標準・コンプライアンス等でフィルタリングを実施し、問題解決の優先順位を決定したり、脆弱性エビデンスを確認しながら、問題となるソースコード行を確認できます。
これにより、テスト結果の管理やレビューにかかる時間を劇的に短縮することができ、高品質でセキュアなアプリケーション開発を実現します。
更に、プロジェクト全体の品質をグラフィカルに可視化するダッシュボードも用意されており、セキュリティの観点から必要な機能を搭載しています。
導入効果
サイバーセキュリティの
専門家が設計したダッシュボードにより、
レビュー時間を劇的に短縮。
Code Dxのダッシュボードは、サイバーセキュリティの専門家が、セキュリティリスクの検討方法を分析し、最も見る必要がある測定結果から、視覚的に見ることができる設計にしています。そのため、非常に効率よくレビューすることができます。
CI/CD環境に統合可能な
プラグインの提供により、
DevSecOpsの実現が可能に。
Code Dxには標準的なツールのプラグインが用意されているため、Code Dxの結果をIDE、CIシステム、オープンソースのSASTなど、他のソフトウェア開発ツールに簡単に利用できます。
これにより、自動化されたパイプラインを構築することができ、開発段階でセキュリティテストを行うDevSecOpsを実現することが可能です。
メジャーなオープンソースの検証ツールを標準でバンドル。
導入したその日からセキュアなアプリケーション開発が可能に。
Code Dxには、Brakeman、CppCheckなど、メジャーなオープンソースの検証ツールをあらかじめ、搭載しております。また導入にあたり、専用サーバを用意することなく、Code Dxをインストールするだけで、その日から使用することができます。
機 能
FUNCTION 1
複数の検証ツール
結果の正規化と
相関関係を自動で生成
複数の検証ツールからなる、各種結果(深刻なエラーや重大度【Severity】)を自動で一元化します。
ツールごとに異なる重大度をCode Dxが統一化し(正規化)、同一の意味を持つ結果に関しても、自動で仕分けを実施します(相関)。
FUNCTION 3
プロジェクトの品質をスコアリングし、
アプリケーションの脆弱性を判定
プロジェクトの品質を「リスクスコア」として点数化し、判定します。「リスクスコア」は、エラーなしの状態を100%とし、検出されたエラーの重大度を鑑み、ペナルティとしてマイナス・平均化したものです。判定は、A~Eの5段階で、脆弱性の基準になります。
さらに「リスクスコア」の内訳として、カスタムコードスコア(SAST/DAST/IASTツール)、コンポーネントスコア(コンポーネントツール)も表示します。
FUNCTION 4
70以上の検証ツールと
様々な業界標準・コンプライアンスに対応
オープンソース/商用ツール問わず、数多くのSAST*¹ツール、DAST*²ツール、IAST*³ツールに対応しています。
- ●オープンソースツール例:
CheckStyle、FindBugs、CppCheck、など - ●商用ツール例:
Klocwork、QAC、Coverity、VEX、AppScan、など
また、OWASP*⁴やCWE*⁵、CERT*⁶、WASC*⁷、PCI DSS*⁸などの、様々な業界標準・コンプライアンスにも対応しています。
- *¹ SAST:Static Application Security Testing(静的セキュリティテスト)
- *² DAST:Dynamic Application Security Testing(動的セキュリティテスト)
- *³ IAST:Interactive Application Security Testing(対話型セキュリティテスト)
- *⁴ OWASP: Open Web Application Security Project
- *⁵ CWE:Common Weakness Enumeration
- *⁶ CERT:Computer Emergency Response Team
- *⁷ WASC:Web Application Security Consortium
- *⁸ PCI DSS:Payment Card Industry Data Security Standard
導入事例・ケーススタディ
- 車載ソフトウェアの開発会社様
-
導入前の課題
- 複数の検証ツールの結果を個別に確認していた為、レビューに時間がかかっていた。
- 開発プロセスの自動化を検討中
CodeDx
導入で!導入効果
- テスト結果を一元化でき、レビュー時間短縮
- 新しい検証ツールの導入が容易に出来た
- 開発プロセスの自動化も容易であった
- ADAS(先進運転支援システム)の開発会社様
-
導入前の課題
- PSIRT(Product Security Incident Response Team)を構築しようとしているが、部署毎に、脆弱性検証ツールもバラバラであった
CodeDx
導入で!導入効果
- 脆弱性検証ツールに依存しないため、各部署の脆弱性管理・対応の体制作りが容易になった
システム構成/推奨環境
サーバー要件
- ・デュアルコアCPU
- ・4GB以上のRAM
- ・10 GB以上のハードディスク、SSDを推奨
- ・Windows(7以降およびServer 2012 R2以降)、またはMac OS X 10.8以降、またはLinux(Ubuntu、
Fedora、Debian、RHEL、およびCentOS)、Docker、Kubernetes(これらはCode Dxが現在テストされているプラットフォームです。)
クライアントブラウザ要件
- ・Internet Explorer 11以降
- ・Firefox 8以降
- ・Chrome 12+
- ・Safari 5+
サポート言語
C/ C++、Java、Javascript、JSP、.NET(C#、VB)、PHP、Python、Ruby、Scala
プラグインサポート
- ・バグトラッキンングツール(JIRA、JIRA Template Expressions)
- ・CIツール(Jenkins、TeamCity、REST API for custom integrations)
- ・バージョンコントロール(Git)
- ・SIEM&Scanner(AlienVault、Nessus )
お電話でのお問い合わせ(受付時間:平日9:00-17:45)
Webからのお問い合わせ
