セキュアコード分析🔗
サービス概要🔗
Secureworksは、経験豊富なコンサルタントチームが手動レビューと自動化テクノロジーを組み合わせてアプリケーションのソースコードをスキャンし、以下を含む複数のコーディング言語に対してセキュリティ脆弱性を明らかにします。
- PHP
- Java
- C# .NET
- C++
- JS
- ASP.NET
- VB.NET
- Python
- Android
- Objective C
- Perl
- HTML
- MS Visual Basic
- SQL
- Ruby
サービス手法🔗
自動スキャンが完了した後、分析対象のソフトウェアに対して徹底的な手動レビューと検証を実施し、以下を達成します。
- データフローを確認し、修正可能な重要な分岐点を特定して脆弱性を排除
- パラメータおよび攻撃ベクトルの分析
- セキュアコーディングのギャップをセキュアコーディングのベストプラクティスと関連付け
- 修正ガイダンスおよび推奨事項の提供
このプロセスの一環として、Secureworksは対象アプリケーションのソースコードにアクセスし、Secureworksのラボ環境内で適切に分析を行います。
テストには、以下を含むがこれらに限定されない複数の脆弱性の検証が含まれます。
- 権限昇格の悪用
- バッファオーバーフロー
- レースコンディション
- セッション管理
- 認証/認可
- 否認/ログ記録の脆弱性
- データセキュリティ保護/暗号化
- セキュアな通信チャネル
- SQLインジェクション
- コードインジェクション
- セッション固定
- 未検証の入力
- ファイルアップロード
- クロスサイトスクリプティング(XSS)
修正検証:
Secureworksは、最終レポートに記載された重大度「高」および「重大」の発見事項に対してのみ、1回の修正検証(RV)を実施します。最終レポートが納品された後、お客様は90日以内に問題を修正し、RVをスケジュールし、SecureworksによるRVの実施を受ける必要があります。RVのリクエストは、最終レポート納品日から30日以内にWebサービステストのSecureworks担当者宛てにメールで提出する必要があり、これを過ぎるとRVの権利は失効します。SecureworksはRVの結果を要約した簡易レポートを発行し、問題が正常に修正されたかどうかの情報を含みます。
注意: Secureworksは、Webサービステストがオンサイトで実施された場合でも、RVはリモートでのみ実施します。
成果物🔗
Secureworksは、テスト完了後にお客様の組織へレポートを発行します。レポートには以下が含まれる場合があります。
- エグゼクティブサマリー
- 手法、詳細な発見事項、説明、および推奨事項(該当する場合)
- 関連する詳細や補足データのための添付資料
お客様は、レポート納品から1週間以内に最終レポートに含めるコメントを提出できます。レビュー期間満了までにお客様からコメントがない場合、レポートは最終版とみなされます。
サービス完了時には、お客様指定の連絡先にSecureworksからセキュア/暗号化されたメールによる確認通知が送信されます。お客様指定の連絡先から書面による異議申し立てがない限り、当該メール確認から5営業日以内にサービスは完了したものとみなされます。
スコーピング情報🔗
| スコープ | 説明 |
|---|---|
| セキュアコード分析 - 小規模 | 最大25,000行のコード |
| セキュアコード分析 - 中規模 | 25,000~50,000行のコード |
| セキュアコード分析 - 大規模 | 50,000~100,000行のコード |
スコーピングのヒント: コード行数(LOC)は、スキャン対象となる全コードベース内の_実行可能_なコード行の合計を指します。総LOCには、コメント、ドキュメント、スタイルシート、またはターゲットアプリケーションのプログラム実行に関連しないその他の一般的な内容は含まれません。
作業はSecureworksコンサルタントの営業時間内にリモートで実施されます。