Rational AppScan Source Editionのここが凄い！

Rational AppScan Source Edition は、ソースコードを分析してセキュリティー脆弱性と品質欠陥を検出します。問題のあるソースコードをピンポイントで指摘できます。アプリケーションのトレース情報が視覚的に表示されるため、どこに問題があるかが容易に理解できます。

AppScan Source Edition は、発見された問題点を重大度と、その問題の確からしさの双方から評価します（トリアージ）。静的検査の特徴として問題点が多数検出される事がありますが、トリアージにより、明らかに危険ですぐに対処すべき問題かそうでないかが明確になります。 また、AppScan Source Edition には様々なフィルタリング機能があり、問題点を効率よく分類し評価できます。

AppScan Source Edition は、ソースコードを解析する静的検査を実施するため、検査会社による脆弱性検査や、動的検査を実施する Standard Edition に比べて、より開発段階の早期に問題を発見可能です。問題点を開発段階の早期に発見することは、開発の手戻りを回避し、再テストの実施による予期せぬ開発スケジュールの遅延や開発コストの増大を防止できます。

AppScan Source Edition は、ソースコードを検査する静的検査を行います。静的検査は、動的検査では難しい検査のカバレージを確保できます。動的検査では、実施にアプリケーションを動作させて検査するため、エラーケースなどアプリケーションの実行されなかった部分は、検査ができません。静的検査であれば、すべてのソースコードを網羅することができるので、検査漏れの心配がありません。

AppScan Source Edition は、ビルド時に検査を自動実行することが可能です。ビルド時にはすべての必要なソースコードが集約されるため、漏れのない検査を行うことが可能になります。検査が強制されるため、開発者それぞれが検査を実施する場合に比べ、検査の漏れがなくなります。また、AppScan Source Edition では、検査ルールが統一して管理されるため、それぞれの開発者が異なったルールに基づいて検査を実施することがありません。

AppScan Source Edition は、Eclipse, Rational Application Developer (RAD)、Visual Studio などの開発環境のプラグインとしても提供されるため、既存の開発環境を変更せずに容易に統合することが可能です。サポートされる開発環境は、以下の通りです。

• Eclipse バージョン 3.3、3.4、3.5 および 3.6
• IBM Rational Application Developer V7.0, V7.5, および V8.0
• Visual Studio .NET 2003、2005、および 2008

AppScan Source Edition では、すべての開発者がソースコードの検査を実施し、問題の妥当性を検証する必要はありません。セキュリティー知識のある担当者が、問題を分析し、個々の開発者に修正を割り当てることも可能です。バンドルと呼ばれる問題点の集合を作成し、これを修正を担当する開発者に送ることで、開発者は修正すべき項目だけを受け取り、その作業に集中することができます。

IBM研究所の最新の文字列解析技術を取り入れ、サニタイザーの自動認識およびサニタイザーが正しく機能しているかを自動的に検証できます。これにより、誤検出の大幅な削減が期待できます。

一般に、静的解析ツールでは、脆弱性を発見するために汚染解析と言う手法が使われます。汚染解析では汚染を取り除くサニタイザーと呼ばれるルーチンを、あらかじめ定義しておきます。この定義が誤っていると正しい検査結果を得ることができません。AppScan Source Edition の文字列解析は、サニタイザーの妥当性を判定します。

• 汚染解析の課題
  • ユーザー定義サニタイザーに関しては、正しいサニタイザーであることの検証が必要
  • 誤ってサニタイザーを定義した場合、脆弱性の検出ミスの可能性
  • 条件文やインラインコードで処理が行われているとサニタイザーの指定ができない
• 文字列解析―次世代の静的解析技術
  • サニタイザー などのメソッドではなく、より詳細な文字列操作に着目

Rational AppScan Source Edition の概要ページはこちら