Beyond Blueのソースコード診断とは
OpenText™ Fortify Static Code Analyzerを使ってソースコード内のセキュリティ脆弱性の根本原因を突き止め、最も深刻な問題を優先し、修正方法に関する詳細なガイダンスを提供します。さらに、ソフトウェアセキュリティの一元管理により、開発者が短時間で問題を解決できるように支援できるようレポート致します。
ソースコード診断(概要)
ツールを利用してソースコードに含まれる脆弱性をホワイトボックス型で診断いたします。
利用ツール:OpenText社(旧MicroFocus社)「Fortify Static Code Analyzer(SCA)」
主な診断項目(ツールの特徴)
- ソースコード診断では、SQLインジェクションやコマンドインジェクション、 XSS、バッファオーバーフロー、メモリリーク、Nullポインタ参照といった 潜在的な問題を発⾒します。
- RayAegisでは、ツールに習熟したセキュリティエンジニアがコードの差異により 引き起こされる診断の中断などに対し、利⽤環境のチューニングを適切に⾏い、 各種⾔語によるソースコードが問題なく全コード検査されるようサービスを⾏います。
診断可能言語:
ABAP/BSP
ActionScript
Apex
ASP.NET
C# (.NET)
C/C++
Classic
ASP (with VBScript)
COBOL
ColdFusion CFML
Go
HTML
Java (including Android)
JavaScript / AJAX
JSP
Kotlin
MXML (Flex)
Objective C/C++
PHP
PL/SQL
Python
Ruby
Swift
T-SQL
VB.NET
VBScript
Visual Basic
XML
※上記以外の言語についてはお問い合わせください
ソースコード診断(サービス内容)
サービス内容
- 診断作業
- 1回
- 標準診断期間
- 2週間程度(診断対象)
- 報告書作成期間
- 1週間程度
- 納品物
- 検査ツールフォーマットでのご報告書(PDF納品、日本語または英語版いずれか1部をご提供)
- アフターサポート
-
- お客様から誤検知としてご連絡いただいた検出項目を報告書から削除(診断・再診断毎に1回まで)
- アフターサポート再診断(ツール実行) 最大3回(初回診断報告書提出後 6か月以内)
ご注意事項
- ・ソースコードをご提供いただき、弊社内にて診断を⾏います。
- ・報告会の実施はありません。
- ・ソースコードを正常にツールで診断できるよう各種設定を変更しつつ診断を進めるため、 ソースコードの量・記載⼿法などで期間が変動します。 標準指定期間以上に要する⾒込みとなった場合は、即座にお客様にご案内いたします。
- ・発⾒項⽬に対しての詳細説明やセキュアプログラミングの案内など、 コンサルティングサービスは含まれません。
- ・誤検知として連絡いただいた指摘事項について、報告書から削除いたしますが、 ご報告いただいた内容についての正当性確認などの精査は実施いたしません。
ソースコード診断(お見積り・実施にあたってのお願い)
お⾒積もり並びに必要作業量の⾒込みを⾏うため、以下の情報をご提供ください。
お見積もりにあたってのお願い事項
- ・診断対象となるソースコードの開発⾔語をお教えください
- ・診断対象となるソースコードのファイル個数をお教えください。ファイル単位で開発⾔語が異なる場合はあわせてご提示ください。
- ・上記対象ファイル単位で⾏数(またはステップ数)をそれぞれお教えください。個別ファイル単位でのご提示が難しい場合、合計⾏数をお知らせください。
サービス実施にあたってのお願い事項
- ・ソースコード診断では、プログラムファイル等、ソースコード自体をご提供いただく必要があります。診断開始希望日の3営業日前までにご提供をお願いいたします。アップロード先を弊社側で準備する必要がある場合はお知らせください。
- ・ご提供方法としては、メール送付、ダウンロードリンクのご提供など柔軟に対応いたします。弊社からご提供する場合は、標準でOneDrive共有によるアップロード先リンクをご案内いたします。
- ・ソースコードの診断中、コードに含まれるバグなどにより検査ツールが正しく動作しない場合がございます。弊社側でツールチューニングを⾏い診断を進めますが、検査に問題が発生した場合、コード記載内容について確認・ご質問を差し上げる場合がございますので、ご協力をお願いいたします。