Code Dx Enterprise の主要機能
Code Dx Enterprise は、アプリケーションの脆弱性の相互関連付けと管理を行うシステムです。複数の静的解析ツール、動的解析ツール、その他の解析・テスト技術によって検出されたソフトウエアの脆弱性を統合・正規化して、全体を一覧できます。
ビジュアルな解析手法は、ソフトウエア品質問題とセキュリティ脆弱性の発見、トリアージ、優先度付け、管理、対策の各プロセスを加速して、対策までの時間を劇的に短縮します。
解析とテストの、効率的カバレージ向上を支援します
高度の品質とセキュリティのカバレージ実現のためには、複数のテスト技術にまたがる複数の解析ソリューションが必要です。Code Dx Enterprise は以下のような支援を提供致します。
- 複数の解析とテストツールからの結果を統合します。
- 結果を、正規化、相互関連付け、重複項目のマージ等をおこない、さらに、選択された業界標準へマップします。
- システムにおける緊急・重要な問題と領域を早急に発見してそれらに集中できます。
主要機能
セキュリティと品質のチェック
- 総計約1500以上の構成可能なルールを持つ、バンドルのオープンソース(OSS)静的解析ツールを適切に設定して実行可能で、サポート対象言語は、C、C++、C#、Java、JavaScript、JSP、PHP、Python、Rails、Ruby、Scala、および、VB.NETです。
- バンドル・ツールとは別に、お客様側で使われている主要な静的解析・動的解析・Composition解析ツール等からの、解析結果データをインポートしてデータを統合することが出来ます。(サポート・ツールの項ご参照)
解析結果の統合
- 複数の解析・テストツールからの結果を全て統合した問題点の集合を処理したり管理する為の統一的な一つのインタフェースを提供。全体俯瞰のためのDashboardビューと、問題点を全体一覧からシームレスに個々の問題点まで絞り込んで見れるFindingsビューがあります。
- 静的解析と動的解析の結果を統合する、Hybrid Analysis が可能です。Webアプリケーションにおおける脆弱性の発見と対策に効果を発揮します。
- 問題点は正規化され、相互関連付けされ、重複項目はマージされます。
- お客様の環境に適応できるように、相互関連付けエンジンはカスタマイズ可能です。
トリアージと対策
- 強力な検索とフィルタ機能により、重要な問題の優先度付けを簡単におこなうことができます。
- 対策へのガイダンスがカスタマイズ可能です。
標準化
- 業界標準へ問題点をマップ可能です。対象の標準は、CWE、HIPAA、DISA、OWASP Top 10、SANS TOP 25、CERT-C、PCI-DSSなどです。
ソフトウエア開発ライフサイクルへ統合
- お客様の開発環境、開発プロセス、それに、既存のワークフローへの統合が可能です。
- IDE、CI 環境、SCM、課題管理システム、および、お客様個別のツールやプロセスへの統合が可能です。
解析・テストのツールへの統合
- 統合は、簡単で早く実現できます。
- 現状サポート対象ではないツールへのカスタム統合も対応可能です。
自動化
- 自動化された継続的解析により、開発プロセスの早期段階で、問題を発見して対処可能です。
- Jenkins と統合可能です。
- API により、お客様独自のプロセスへの統合が可能です。
レポート作成
- レポートは、PDF、XML、CSV形式あるいは、AlienValut/NBEやNessus等の形式で発行して、共有可能です。
- 開発者の IDE 環境へ、結果をプッシュ可能です。
- 課題管理システムへの統合が可能です。(例えば、JIRA)
使いやすく強力
- ローカル環境にインストールされた、サーバベースのプラットフォームで稼働します。(Windows、OSX、Linux)
- 多数のオープンソースの静的解析ツールがバンドルされています。初期設定や、実行が自動化されています。
- どのようなチームの規模に対してもお使い頂けます。