secureassist introduction
TRANSCRIPT
脆弱性は元から断たなきゃダメ!
SecureAssist IDE Plugin and Enterprise Portal Introduc6on
ASTERISK RESEARCH, INC. 株式会社アスタリスク・リサーチ Cigital社チャネルパートナー
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 1
SecureAssist
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 2
プラグイン レビュー対象のファイル・タイプ IDE(統合開発環境)
Java
JEE / JSP / XML / FTL / ProperOes
PHP
Eclipse RAD
MyEclips SpringSource Tool SuiteTM IDE
.NET
C# / VB.NET / ASPX MicrosoB Visual Studio
はVisual Studio、Eclipseのプラグインとして提供されます。 開発者はいつでも手元でコードレビューをさせることができるので、脆弱性のもとになるプログラムコードをビルド前に見つけ、修正・確認することができます。
まるで、一流のプログラミングセキュリティ・コーチを開発者ひとりひとりの横に配置するような、効率・効果の高いソリューションです。
サポートしている技術
ジミニー・クリケット
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 3
リアルタイムコードレビュー・リスクレベル・ガイダンス
解説・ガイダンスや サンプルコード
脆弱性とコードの対応による リスクレベルの可視化
IDEプラグインによる リアルタイムな
コードレビュー
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 4
入力値バリデーションならびに 出力値のエンコードを徹底
セキュアでないデータの取り扱いによる問題を回避
正しいコーディング手法の 導入・徹底
Cross-‐Site Scrip6ng* > Output Sent to Browser > Output Data in Web Page > DOM Object > HTTP Header ManipulaOon > GET Requests > HTML Comments in JSP or PHP File > Hidden Field > Data Usage from HTTP Request > Output Encoding Set to False
SQL Injec6on* > Dangerous Method Calls > Database Query ManipulaOon > Untrusted Data Source for Query > Dynamic Database Query
Path Manipula6on* > UnsaniOzed Data Usage > Directory Call with Dynamic Inputs
Denial of Service AJack > Hanging JRE > Dynamic Web Page Content > Processing SensiOve Data > Race CondiOon > Struts Config > XML A_acks
File Input/Output > Exposed Buffers > Temporary Files in Shared Directories
Other Unvalidated User Input* > LDAP InjecOon* > Xpath InjecOon* > Command InjecOon* > Remote Code ExecuOon > Javax Persistence Security
Insecure Data Storage > Insecure File Modes > No Access Control* > User CredenOals Stored* > Hardcoded Password* > Access to Cache > HTTP Auth CredenOals Stored*
Sensi6ve Informa6on Leakage > Dynamic Web Page Content > System InformaOon Leak > Exposure of AuthenOcaOon Objects > Use of printStack Trace > ExcepOon Handling > Autocomplete Sebng > External Storage Used > Screen View Captured > Web Page Saved to Device > HTML Form Data > Insecure ConfiguraOon in Manifest
Weak Cryptography* > Security Features > Weak Cryptographic Hash > Weak EncrypOon > Outdated Cipher > Weak Algorithm > Secure Number RandomizaOon > Insufficient Key Size > Inadequate RSA Padding
Trust Boundary Viola6ons > User Supplied Data to Beans > Calls AffecOng CURL Requests > Untrusted Data Source > UnsaniOzed String > InjecOon in Email > Points of Interest > Entry Point ViolaOon > Socket ConnecOon Timeout > Socket Stream Timeout
Unvalidated Redirects & Forwards > URL RedirecOon* > User RedirecOon*
Thread APIs > Call to NoOfy() > InvocaOon of Thread.stop() > InvocaOon of Thread.run()
Struts Misconfigura6on > XML InjecOon > XML DTD A_ack > Missing/Duplicate Form Bean* > Missing Forward Name A_ribute* > Missing Path/Type A_ribute* > Unnecessary A_ribute > Required Input A_ribute > Invalid ExcepOon Scope > Missing Form-‐Property Type > Dangerous RelaOve Path > AcOon Not Validated
Configura6on > ASP.NET ConfiguraOon* > PHP ConfiguraOon* > Environment Variable Value > Session Timeout ConfiguraOon* > Session InacOve Interval* > ImplementaOon Time Logic Flaws > Call to ReadLine > Race CondiOon > Hidden Field
Improper Error Handling > Unspecified Error Page > JSP Defines Error Page > JSONRPC Security
Log Handling > UnsaniOzed Data Wri_en to Logs > Private User Data Logged
Cookie Security* >Overly Broad Paths > Insufficient Transport Layer ProtecOon > Session Management
Resource Handling > File Input Output > Hibernate Security > Resource Not Closed in Finally Block
*2013 OWASP Top 10の関連項目
*2013 OWASP Top 10の関連項目
SecureAssistにより、主な脆弱性攻撃によるリスクを80%減少させることが可能になります。
OWASP Top 10 important risksやCWE Top 25に対応
開発チームはコードに自信が持てるようになります 重要な問題を発見・修正そして学習する好循環を加速します。
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 5
1. Find vulnerabiliOes early セキュリティ問題を潜在させない問題発見手法
2. Educate to fix & prevent them セキュリティ欠陥を未然に防ぎ、学習効果向上
3. Improved quality throughout SDLC 開発ライフサイクルを改善し、ソフトウェア品質向上
チーム統合機能: IDE Plugin and Enterprise Portal
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 6
SecureAssist Enterprise Portal
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE(統合開発環境)Pluginの機能
・Work Faster ・Work Smarter ・Keep security in mind より早く より効率良く セキュリティを常に意識
・Ac6onable intelligence 利活用可能な統計情報 ・Simplify updates アップデートの簡略化 ・Manage users ユーザーの管理
・Deliver Review RuleSet 独自ルールセットの配布 ・Deliver Code Guideline ガイドドキュメントの配布
Enterprise Portal管理画面
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 7
• プロジェクトやユーザーごとの統計情報、可視化、および レポートの出力
• チーム独自のガイドラインの設定、リアルタイム反映
• ユーザーの管理とプラグインのライセンス配布
チーム全体のセキュアコーディング状況を集約する機能
リリース直前に脆弱性を見つかって大量修正・・・ セキュリティ品質の確保でお悩みですか?
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 8
リリース前修正!リリース後の問題指摘! 脆弱性対策のための手法も 予算も時間もない!
ホントに面倒くさい (T_T)
セキュア開発の段階をエンパワーする 開発者のためのSecureAssist
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 9
Planning & Requirements
Design & Architecture Development TesOng ProducOon Maintenance
SAST 静的解析 DAST 動的解析
要因の
85% システム脆弱性の85%は
開発段階に起因
• IDEでコードレビュー • チーム統合機能 • コストパフォーマンス
開発レビュー MOINTORING ライフサイクル設計・教育
脆弱性は元から断たなきゃダメ! システム脆弱性の85%は開発段階に起因します。
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 10
ソフトウェア開発におけるセキュリティ対応は、開発プロセスの後工程になればなるほどリスクが高く、手戻りの時間もコストも高くつきます。
開発チームがソースコードにもっともかかわっているタイミングで問題の原因を取り除くことが必要であり、対策の効率は飛躍的に向上します。
解決策: 開発者全員が自分で使えるReviewツール。 5X
10X
30X
Coding Integra6on/component tes6ng
System tes6ng
Produc6on
85%
15X
当段階で発生した脆弱性(%)
当段階で発見された脆弱性(%)
当段階での脆弱性修正コスト
SecureAssist 開発元 米Cigital社のご紹介 cigital.com
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 11
• 世界最大級の、ソフトウェアセキュリティに特化した コンサルティング・サービス提供会社
• 1992年に創業
• 世界で最初の、静的コード解析の商用ツールを開発、 主要な静的解析ツールに採用されている。
• ソフトウェアセキュリティ業界のオピニオンリーダー
• OWASP Global Supporter
Cigital社のソリューションを活用している企業
• Fortune 500も含む大手企業270社以上
• 金融機関の上位10社の内9社
• 米国銀行の上位20銀行の内16銀行
• ソフトウェアセキュリティ会社の上位3社
• 保険会社の上位3社
• 米国最大のゲーム会社
• テクノロジー会社の上位10社の内5社
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 12
Cigital社のCTO Gary McGraw氏
Gary McGraw, Ph.D.(ゲイリー・マグロー) -‐ Cigital, Inc. CTO
• セキュアな開発の方法論の第一人者
• “Building Secure SoBware and SoBware Security” (邦題:Building Secure Soqwareーソフトウェアセキュリティについて開発者が知っているべきこと)などの著者
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 13
「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナーとしてCigitalを選択してくれたことをうれしく思います。すぐれたソフトウェアセキュリティを実現する市場を開発することは、実社会において、まさに望まれていることであり、私たち両者がともに長い期間目指してきたものです。」 -‐ Gary McGraw, Cigital, Inc. CTO
Cigitalとアスタリスク・リサーチのパートナーシップを発表(2015/4/30)
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 14