概要
セキュアコードレビューは、脆弱性がリリースされる前にそれらを検出するための、アプリケーションのソースコードの綿密な検査です。網羅性のための自動静的解析と、ツールでは見逃される文脈依存の欠陥である認証、認可、ビジネスロジック、暗号についての専門家による手動レビューを組み合わせ、開発者がすぐに対応できる修正策を提供します。コードを直接レビューすることは、問題の修正コストが最も低い展開前に、安全でないコーディング慣行を検出するのに役立ちます。一般的な検出結果には、インジェクションの欠陥、脆弱な暗号、認証の弱点、安全でないコーディングパターンが含まれます。
方法論&標準
OWASP Code Review Guide 2.0、OWASP ASVS、OWASP Top 10、言語固有のセキュアコーディング標準。SASTツールに、セキュリティ上重要なコード経路の手動レビューを加えます。各レビューは、自動解析、手動コードレビュー、脆弱性の検証、修正ガイダンスを伴うレポートを組み合わせます。
含まれる内容
幅広い網羅のための自動SAST
認証/認可、ビジネスロジック、暗号の手動レビュー
開発者が実際の問題に対処できるようにするための誤検知のフィルタリング
ソースコードのセキュリティ評価
自動および手動のレビュー手法
セキュアコーディング慣行の評価
優先順位付けされた修正の推奨
提供される成果物
ファイルおよび行の参照と深刻度評価を伴う結果
セキュアコードの修正スニペットとASVSのカバレッジビュー
根本原因についての開発者向けウォークスルー
経営層向けレポート、技術的な結果、修正の推奨、再テストによる検証支援
OWASP準拠経営層向けレポート修正ガイダンス再テストを含む証明書スキャナーのダンプなし
よくある質問
SASTは自動化された最初のパスです。手動レビューは、ツールが推論できないもの——アクセス制御の不備、欠陥のあるビジネスロジック、文脈における安全でない暗号の使用——を、誤検知を除外したうえで補います。
関連するリポジトリへの読み取りアクセスが必要です。大規模なコードベースでは、SASTが幅広く網羅する一方で、手動の労力を最もリスクの高いコンポーネントに集中させます。
セキュアコードレビューは、開発ライフサイクルの早期にセキュリティ上の弱点を特定するのに役立ち、脆弱性が本番システムに到達するリスクを低減します。