資料の紹介

 近年、ITベンダーのほとんどは、商用ソフト部品やオープンソースソフトといったコンポーネントを利用したり、開発業務の一部を外部委託したりしてソフトウエアを開発している。このようなサードパーティ活用は、コストや納期の面では有利だが、品質やセキュリティの面からは課題がある。

 実際、セキュリティインシデントのほとんどは、ソフトウエアの脆弱性に対する攻撃が原因になっている。サードパーティを活用した開発では、ソフト部品のコードが安全なのか、品質はどの程度保たれているのかが不透明なままソフトウエアに組み込んでしまうことが多く、結果として脆弱性を含んだまま利用されやすい。

 本動画は、上記の問題の解決に向けた3つのアプローチに関する、専門家の講演内容を収録したものである。「ソフトウエアコンポジション解析(SCA)」によって既知の脆弱性のリスクを評価し、「ファジングテスト」で未知の脆弱性を検知。「静的解析」によってコードの品質と脆弱性を定量化する。これにより、バグや脆弱性の修正のための手戻りを減らし、ソフトウエアをリリースした後も継続的に脆弱性を管理できるとしている。