DynamicおよびStatic Application Security Testing(動的・静的アプリケーションセキュリティテスト)用ツールは、開発者がコードのエラーやセキュリティホールをより迅速に発見するのをサポートします。
Chim | shutterstock.com
ソフトウェアサプライチェーン、特にその脆弱性は、近年多くの騒動を引き起こしてきました。特に注目を集めた例が、ITサービスプロバイダーSolarWindsへの攻撃で、18,000社以上の顧客企業が影響を受けました。この攻撃はサプライチェーンへの唯一の攻撃ではありませんでしたが、誰が責任を持つべきかという問いに再評価をもたらしました。
SolarWinds攻撃への対応の一つが、元米国大統領バイデンによる「国家のサイバーセキュリティ強化に関する大統領令」です。この大統領令は、サプライチェーンのセキュリティ確保の重要性を強調しただけでなく、安全なソフトウェアを提供する際の開発者の責任も明確に示しました。この命令は米国政府機関およびその取引先にのみ適用されますが、すべての関係組織が自社のソフトウェアベンダーを確認し、安全なコードを提供する必要があることを象徴しています。これは、自社向けのプログラムやアプリケーションを開発する企業であっても、第三者のソフトウェアサプライチェーンの一部であっても同様です。
最大の問題は、ソフトウェア開発者が長年、どれだけ速くプログラムできるかだけで評価されてきたことです。セキュリティは後回しにされるか、他の担当者の責任範囲とされてきました。現在、多くの開発者がサイバーセキュリティについて学んでいますが、自分のコードに脆弱性がないことを保証するための支援が必要です。そのために、Dynamic Application Security Testing(DAST)およびStatic Application Security Testing(SAST)用ツールが大きな役割を果たします。
DASTおよびSASTツールとは?
SASTおよびDASTツールがソフトウェアサプライチェーンのセキュリティ強化の文脈で再び重要性を増しているのは当然のことです。これらは、開発者が安全なコードを提供するためのツールを提供します。これは公式なDevSecOpsプログラムの一部として、またはセキュリティの責任をアプリケーション開発の現場に近づけるために活用できます。SASTとDASTツールの目的は、コードをより安全にすることです。理想的には、アプリケーションが本番環境に導入され、サプライチェーンの一部となる前に実施されます。両者は同じ目標を持ちますが、異なるアプローチで問題に取り組みます:
