OpenText Static Application Security Testing

OpenText Static Application Security Testingは、ソフトウェア開発ライフサイクルに組み込むことを目的としたソースコード解析ツールです。プログラムの不具合、脆弱性を検知し対処のリコメンドまでを行います。

OpenText Static Application Security Testing（旧Fortify SCA）の機能と特長

OpenText Static Application Security Testingの利用イメージがわかる動画

OpenText Static Application Security Testingを使ったコードの解析と、複数の解析結果を統合したダッシュボードを確認する一連の流れを、デモでご覧いただけます。（4分59秒）

幅広いセキュリティ規約に対応

OpenText Static Application Security Testingでは、情報セキュリティに関連する団体が策定しているガイドラインに沿ってチェックが可能です。

準拠しているガイドライン例

OWASP TOP10,PCI DSS、NIST、CWE、GDPR　など

幅広い言語をカバーし、あらゆるアプリケーションに対応

OpenText Static Application Security TestingはWebアプリケーション環境に強く、31言語に対応しています。

OpenText Static Application Security Testingで解析できる言語

.NET Framework、.NET Core、ABAP/BSP、ActionScript、Apex、ASP.NET、C#、C/C++、Classic ASP (with VBScript)、COBOL、ColdFusion、Go、HTML、Java (including Android)、JavaScript、JSP、Kotlin、MXML (Flex)、Objective-C/C++、PHP、PL/SQL、Python、Ruby、Scala、Swift、T-SQL、TypeScript、VBScript、Visual Basic (VB.NET)、Visual Basic、XML

セキュリティ規約を確認するさまざまな機能を搭載

OpenText Static Application Security Testingは様々なセキュリティ規約を確認するための機能を搭載しています。

代表的な機能の例

入力妥当性検証と表現	バッファーオーバーフロー、コマンド・インジェクション、クロスサイトスクリプティング、フォーマット文字列、リソース・インジェクション、設定の操作、SQLインジェクション、など
APIの乱用	ヒープインスペクション、戻り値の未チェック、など
セキュリティ機能	特権の侵害、アクセス制御、パスワード管理、プライバシー管理、など
時間と状態	デットロック、セッション管理、ファイルアクセス、など
エラー	Null Pointer、空のキャッチブロック、など
コード品質	ダブルフリー、メモリリーク、廃止された関数チェック、未定義の関数の動作、未初期化の変数、リソースの未開放、フリーのメモリ参照
カプセル化	ユーザ間のデータリーク、デバッグコードの取り残しなど

誤検知やノイズが少なく、開発者のチェック工数を最小化

コード解析ツールは、自社では修正する必要のない箇所(ノイズ)も検知するので、自社で本当に対応すべき箇所を見極めることに余計な時間を費やしてしまいます。

OpenText Static Application Security Testingは、独自のスキャンエンジンに加え、豊富なナレッジをベースとしたAudit Assistantの機械学習機能を用いて、より高度なコードスキャンを可能としています。

コードスキャンイメージ

修正ガイダンスやリアルタイムの不具合チェックで効率化

OpenText Static Application Security Testingは不具合を検知するだけでなく、具体的にどのように修正すれば良いかまでを自動で提案します。

自動提案イメージ

品質強化対策の関連製品／サービス

ITサービスマネジメントに関するその他の課題

お求めの情報は見つかりましたでしょうか。

お客様の状況に合わせて詳しい情報をお届けできます。お気軽にご相談ください。