IAST : 次世代のWebアプリケーション・セキュリティ・テスト手法 - SAST(静的解析)とDAST(動的診断)のギャップの解消

Presented by

日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニアセールスエンジニア 吉井雅人

About this talk

* このセミナーは9月30日(水)に開催した同名セミナーの録画・再放送版です。 * 内容についてご質問がある場合はプレゼン画面下のAsk a Questionタブからテキストにてご入力ください。後日ご登録の連絡先に回答を差し上げます。 * 講演資料はプレゼン画面下のAttachmentからダウンロードできます。 アプリケーション・セキュリティ・テストの代表的な手法にSASTとDASTがあります。 ソースコードから不具合や脆弱性を検出するSASTは開発段階で早期に不具合を除去できますが、最終的には実際の挙動を確認する動的診断は欠かせません。 一方で実際に動作をさせるDASTは、テストケースの開発やトリアージの手間、解析結果の判別に高度なセキュリティ知識を要するなどハードルが高くCI/CDなどのプロセスにも統合させずらいなどの課題があります。 こうしたSASTとDASTのギャップを埋める新たなテスト手法として注目されているのが、IASTです。 自動化された動的診断から開発者にも分かりやすい静的解析ライクな診断結果を提供するので、利用の負担も低く、CI/CDにも統合可能でビルド・QA中のセキュリティ・テストを充実させることができます。 そこで、IASTの解析の仕組みや解析結果の見え方、検出精度向上の仕組みなどをデモを交えて紹介するセミナーを開催します。 主な内容 - SASTとDASTの特徴の整理とテストのギャップ - 新たなテスト手法IASTの解析の仕組み、解析結果の見え方 - CI/CDへの統合を含む運用イメージ - Q&A

Related topics:

More from this channel

Upcoming talks (4)
On-demand talks (75)
Subscribers (3166)
シノプシスのソフトウェア インテグリティ グループは、企業の安全で高品質なソフトウェアの構築と、リスクを最小限にしつつスピードと生産性の最大化させることに貢献します。シノプシスは、アプリケーション・セキュリティのリーダーであり、静的解析、ソフトウェア・コンポジション解析、動的解析ソリューションを提供しており、独自のコード、オープンソース・コンポーネント、およびアプリケーションの動作における脆弱性や不具合を迅速に見つけて修正するためのツール、ペネトレーションテストや静的解析、動的診断サービス、セキュア開発のeラーニング提供、コンサルティングなど総合的なサービスとツールを提供しています。