テクマトリックス株式会社は8月4日、ソースコードに潜む脆弱性を自動検出する「Jtest Security」の販売を開始したと発表した。

　Jtest Securityは、米Parasoftが開発するWebアプリケーションのソースコードセキュリティ検証ツール。「静的解析」と「フロー解析」でソースコードを検証し、セキュリティの脆弱性につながるコーディングの問題を直接/間接的に検出する。

　「クロスサイトスクリプティング」「SQLインジェクション」「HTTPレスポンス分割」「不適切なエラー処理」「安全でない暗号化」といった、PCIDSS/SANS TOP 25/OWASP TOP 10などで発表されているWebアプリケーションの脆弱性を検出するための全38カテゴリ、1000種類以上のコーディングルールを搭載。加えて、リソースリークや不定・不良データへのアクセス、バグの可能性、パフォーマンスの劣化といった品質に影響するようなコードの検出も可能という。

　対象ファイルはJavaファイルのほか、JSPファイル、web.xmlファイルに対応。WebSphereやApache AxisなどWebコンポーネントの設定ファイル上に起因する脆弱性もチェックできる。コーディングルールの追加・カスタマイズを行う「RuleWizard」機能も搭載するため、過去のコーディングエラーパターンや、独自セキュリティポリシーに基づくルールも追加実装できる。

システムエンジニアリング事業部 ソフトウェアエンジニアリング営業部 ソフトウェアエンジニアリング営業第二課の山田新吾氏は、「もっとも多くのセキュリティ問題が混入する工程が『実装』。Jtest Securityは、その設計・開発フェーズで使用する。脆弱性の修正コストはデザインフェーズを1とすると、運用段階では100倍になるとされる。後になればなるほど修正コストは高くつくことを示しているのが、設計・開発の段階でしっかり検査することで、低コストでセキュアなアプリケーションを作ることが可能になる」と述べている。

テクマトリックス、ソースコードに潜む脆弱性を検出する「Jtest Security」 - Enterprise Watch Watch