セキュリティプロフェッショナルによる高品質のソースコード診断サービス
独自開発ソフトウェアのソースコードを静的に分析し、セキュアなコーディングルールと データフローをチェックし、隠された脆弱性とコーディング品質を検証し、結果をお伝え すると共に回避の為の改善案も提示します。
サービス概要
アプリケーションに潜在する脆弱性およびコーディング品質上の問題を、セキュリティプロフェッショナルがソースコードレベルで検証、分析し、結果と合わせて対策をレポートするサービスです。
自動ツールによる診断結果をもとに、解析専門家による静的解析と問題個所の特定、さらに推奨案の検討作業を行います。
ソースコード自動診断 Cracker Probing-Eyes® Coreによる開発中の随時のチェックを終えた最終段階のコードのセキュリティ/品質チェックや、すでに本番環境で稼働しているアプリケーションのセキュリティ診断にご利用いただけます。
ソースコード診断の必要性や概要についてはこちらをご覧ください。
サービス特長
サイバー保険付帯
費用の問題から十分な初動対応ができないといった問題が発生しかねない状況を憂え、BBSecから提供する脆弱性診断サービス「SQAT® 脆弱性診断」のすべてに、サイバー保険を付帯しました。
自動診断との違い
- 誤検知・過検知の少ない診断結果
- セキュリティエンジニアによる分析、推奨対策などを含めた診断結果の報告書(標準)
- 経営層向けのエグゼクティブサマリ(別途。有償)
実施による効果
ソースコードに潜む脆弱性を具体的に特定
リスクレベルに応じた対応の優先順位付けが可能になる
セキュアなアプリケーションの実現が可能
根本的な問題修正・解決ができる
長期的なリスクマネジメント計画の一助に
コーディングルールやポリシーの策定・改善に役立てることができる
セキュアコーディングの基準として活用
攻撃やマルウェアなどの脅威に耐えられる
対応する基準・言語など
対応国際基準 | OWASP Top 10、MITRE Common Weakness Enumeration(CWE:共通脆弱性タイプ一覧)、CWE/SANS Top 25 Most Dangerous Software Errorsなど |
対応言語 | C/C++, Java, C#, VB.NET, JavaScript, ASP, VBScript, VB6, PHP, Android, Objective-C, Ruby, Python, Perl, PL/SQL, TypeScript, Go(Golang), Groovy, Kotlin他 |
検出する脆弱性の例 | SQLインジェクション、セッションフィクセーション、クロスサイトスクリプティング、バッファオーバフロー、ログフォージェリ、未処理の例外(unhandled exceptions)、 解放されないリソースの問題、ハードコードパスワードなど ※赤文字の脆弱性はブラックボックステストでは検出できない脆弱性 |
検出する品質項目の例 | メソッドにおける未検証の引数、不適切な例外処理、デバッグコードの残存など |
価格
個別お見積りとなります。 診断対象となるソースコードのライン数に応じて費用が変わりますので、お客様のご要件をヒアリングし、お見積りいたします。下記のお問い合わせボタンよりお気軽にお問い合わせください。
FAQ
脆弱性診断についてよくあるご質問(FAQ)はこちら。詳しいご案内は、下記のお問い合わせボタンよりお気軽にお申し付けください。
関連サービス
- WEBアプリケーション脆弱性診断 SQAT® for Web
- スマホアプリ脆弱性診断 SQAT® for Smartphone
- ハイブリッド診断 SQAT® GlassBox
- ソースコード自動診断 Cracker Probing-Eyes® Core
まずは無料で資料をダウンロード
詳しいサービス内容が記載されている資料がダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。