Suche senden
Hochladen
SecureAssist Introduction
•
2 gefällt mir
•
1,078 views
Asterisk Research, Inc.
Folgen
SecureAssist紹介資料です。 「脆弱性は元から断たなきゃダメ!」
Weniger lesen
Mehr lesen
Technologie
Melden
Teilen
Melden
Teilen
1 von 15
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは
SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは
Asterisk Research, Inc.
KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについて
Hiroyuki Wada
Lightweight Keycloak
Lightweight Keycloak
Hiroyuki Wada
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
Hitachi, Ltd. OSS Solution Center.
Keycloak入門
Keycloak入門
Hiroyuki Wada
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers
Typhon 666
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
RWSJapan
SNSの動画投稿機能ちょこっとネタ集 - 俺聞け11
SNSの動画投稿機能ちょこっとネタ集 - 俺聞け11
echizenya yota
Weitere ähnliche Inhalte
Ähnlich wie SecureAssist Introduction
Java/Androidセキュアコーディング
Java/Androidセキュアコーディング
Masaki Kubo
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャー
Yasuo Ohgaki
Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜
Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜
Citrix Systems Japan
サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践
サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践
真吾 吉田
[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践
[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践
de:code 2017
[デブサミ2012]趣味と実益の脆弱性発見
[デブサミ2012]趣味と実益の脆弱性発見
Yosuke HASEGAWA
企業におけるSpring@日本springユーザー会20090624
企業におけるSpring@日本springユーザー会20090624
Yusuke Suzuki
Spring Security 5.0 解剖速報
Spring Security 5.0 解剖速報
Takuya Iwatsuka
Use JWT access-token on Grails REST API
Use JWT access-token on Grails REST API
Uehara Junji
Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介
Hiroyuki Wada
Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説
Yusuke Kodama
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
オラクルエンジニア通信
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...
David Buck
20200516 selenium-meetup-winappdriver
20200516 selenium-meetup-winappdriver
Hiroko Tamagawa
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
Takashi Yahata
NET 開発者のための Azure Service Fabric と、 Azure Container Service - 何が違うねん? -
NET 開発者のための Azure Service Fabric と、 Azure Container Service - 何が違うねん? -
Daiyu Hatakeyama
Mvc conf session_5_isami
Mvc conf session_5_isami
Hiroshi Okunushi
SORACOM Bootcamp Rec12 | SORACOM Inventory
SORACOM Bootcamp Rec12 | SORACOM Inventory
SORACOM,INC
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践
日本マイクロソフト株式会社
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
Ähnlich wie SecureAssist Introduction
(20)
Java/Androidセキュアコーディング
Java/Androidセキュアコーディング
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャー
Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜
Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜
サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践
サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践
[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践
[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践
[デブサミ2012]趣味と実益の脆弱性発見
[デブサミ2012]趣味と実益の脆弱性発見
企業におけるSpring@日本springユーザー会20090624
企業におけるSpring@日本springユーザー会20090624
Spring Security 5.0 解剖速報
Spring Security 5.0 解剖速報
Use JWT access-token on Grails REST API
Use JWT access-token on Grails REST API
Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介
Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...
20200516 selenium-meetup-winappdriver
20200516 selenium-meetup-winappdriver
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
NET 開発者のための Azure Service Fabric と、 Azure Container Service - 何が違うねん? -
NET 開発者のための Azure Service Fabric と、 Azure Container Service - 何が違うねん? -
Mvc conf session_5_isami
Mvc conf session_5_isami
SORACOM Bootcamp Rec12 | SORACOM Inventory
SORACOM Bootcamp Rec12 | SORACOM Inventory
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Mehr von Asterisk Research, Inc.
SecureAssist Enterprise Portal アップグレードガイド
SecureAssist Enterprise Portal アップグレードガイド
Asterisk Research, Inc.
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
Asterisk Research, Inc.
SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)
SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)
Asterisk Research, Inc.
SecureAssist Rulepack Configurator 利用ガイド
SecureAssist Rulepack Configurator 利用ガイド
Asterisk Research, Inc.
Cigital 3D Security Testing
Cigital 3D Security Testing
Asterisk Research, Inc.
SecureAssist Enterprise Portal APIガイド
SecureAssist Enterprise Portal APIガイド
Asterisk Research, Inc.
SecureAssist IntelliJ Plug-in 導入ガイド
SecureAssist IntelliJ Plug-in 導入ガイド
Asterisk Research, Inc.
SecureAssist Enterprise Portal 導入ガイド
SecureAssist Enterprise Portal 導入ガイド
Asterisk Research, Inc.
SecureAssist Visual Studio Package 導入ガイド
SecureAssist Visual Studio Package 導入ガイド
Asterisk Research, Inc.
SecureAssist Eclipse Plug-in 導入ガイド
SecureAssist Eclipse Plug-in 導入ガイド
Asterisk Research, Inc.
Mehr von Asterisk Research, Inc.
(10)
SecureAssist Enterprise Portal アップグレードガイド
SecureAssist Enterprise Portal アップグレードガイド
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)
SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)
SecureAssist Rulepack Configurator 利用ガイド
SecureAssist Rulepack Configurator 利用ガイド
Cigital 3D Security Testing
Cigital 3D Security Testing
SecureAssist Enterprise Portal APIガイド
SecureAssist Enterprise Portal APIガイド
SecureAssist IntelliJ Plug-in 導入ガイド
SecureAssist IntelliJ Plug-in 導入ガイド
SecureAssist Enterprise Portal 導入ガイド
SecureAssist Enterprise Portal 導入ガイド
SecureAssist Visual Studio Package 導入ガイド
SecureAssist Visual Studio Package 導入ガイド
SecureAssist Eclipse Plug-in 導入ガイド
SecureAssist Eclipse Plug-in 導入ガイド
Kürzlich hochgeladen
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
ssuser539845
20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf
Ayachika Kitazaki
2024 01 Virtual_Counselor
2024 01 Virtual_Counselor
arts yokohama
2024 04 minnanoito
2024 04 minnanoito
arts yokohama
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
arts yokohama
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
Shumpei Kishi
What is the world where you can make your own semiconductors?
What is the world where you can make your own semiconductors?
Industrial Technology Research Institute (ITRI)(工業技術研究院, 工研院)
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
Tetsuya Nihonmatsu
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
Matsushita Laboratory
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
ssuser370dd7
2024 03 CTEA
2024 03 CTEA
arts yokohama
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
Sadao Tokuyama
Kürzlich hochgeladen
(12)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf
2024 01 Virtual_Counselor
2024 01 Virtual_Counselor
2024 04 minnanoito
2024 04 minnanoito
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
What is the world where you can make your own semiconductors?
What is the world where you can make your own semiconductors?
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
2024 03 CTEA
2024 03 CTEA
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
SecureAssist Introduction
1.
脆弱性は元から断たなきゃダメ! SecureAssist IDE
Plugin and Enterprise Portal Introduc6on ASTERISK RESEARCH, INC. 株式会社アスタリスク・リサーチ Cigital社チャネルパートナー | Enabling Security for Developers | ©2015 Asterisk Research, Inc. 1
2.
SecureAssist | Enabling Security
for Developers | ©2015 Asterisk Research, Inc. 2 プラグイン レビュー対象のファイル・タイプ IDE(統合開発環境) Java JEE / JSP / XML / FTL / ProperOes PHP Eclipse RAD MyEclips SpringSource Tool SuiteTM IDE .NET C# / VB.NET / ASPX MicrosoB Visual Studio はVisual Studio、Eclipseのプラグインとして提供されます。 開発者はいつでも手元でコードレビューをさせることができるので、脆弱性のもと になるプログラムコードをビルド前に見つけ、修正・確認することができます。 まるで、一流のプログラミングセキュリティ・コーチを開発者ひとりひと りの横に配置するような、効率・効果の高いソリューションです。 サポートしている技術 ジミニー・クリケット
3.
| Enabling Security
for Developers | ©2015 Asterisk Research, Inc. 3 リアルタイムコードレビュー・リスクレベル・ガイダンス 解説・ガイダンスや サンプルコード 脆弱性とコードの対応による リスクレベルの可視化 IDEプラグインによる リアルタイムな コードレビュー
4.
| Enabling Security
for Developers | ©2015 Asterisk Research, Inc. 4 入力値バリデーションならびに 出力値のエンコードを徹底 セキュアでないデータの取り扱い による問題を回避 正しいコーディング手法の 導入・徹底 Cross-‐Site Scrip6ng* > Output Sent to Browser > Output Data in Web Page > DOM Object > HTTP Header ManipulaOon > GET Requests > HTML Comments in JSP or PHP File > Hidden Field > Data Usage from HTTP Request > Output Encoding Set to False SQL Injec6on* > Dangerous Method Calls > Database Query ManipulaOon > Untrusted Data Source for Query > Dynamic Database Query Path Manipula6on* > UnsaniOzed Data Usage > Directory Call with Dynamic Inputs Denial of Service AJack > Hanging JRE > Dynamic Web Page Content > Processing SensiOve Data > Race CondiOon > Struts Config > XML A_acks File Input/Output > Exposed Buffers > Temporary Files in Shared Directories Other Unvalidated User Input* > LDAP InjecOon* > Xpath InjecOon* > Command InjecOon* > Remote Code ExecuOon > Javax Persistence Security Insecure Data Storage > Insecure File Modes > No Access Control* > User CredenOals Stored* > Hardcoded Password* > Access to Cache > HTTP Auth CredenOals Stored* Sensi6ve Informa6on Leakage > Dynamic Web Page Content > System InformaOon Leak > Exposure of AuthenOcaOon Objects > Use of printStack Trace > ExcepOon Handling > Autocomplete Sebng > External Storage Used > Screen View Captured > Web Page Saved to Device > HTML Form Data > Insecure ConfiguraOon in Manifest Weak Cryptography* > Security Features > Weak Cryptographic Hash > Weak EncrypOon > Outdated Cipher > Weak Algorithm > Secure Number RandomizaOon > Insufficient Key Size > Inadequate RSA Padding Trust Boundary Viola6ons > User Supplied Data to Beans > Calls AffecOng CURL Requests > Untrusted Data Source > UnsaniOzed String > InjecOon in Email > Points of Interest > Entry Point ViolaOon > Socket ConnecOon Timeout > Socket Stream Timeout Unvalidated Redirects & Forwards > URL RedirecOon* > User RedirecOon* Thread APIs > Call to NoOfy() > InvocaOon of Thread.stop() > InvocaOon of Thread.run() Struts Misconfigura6on > XML InjecOon > XML DTD A_ack > Missing/Duplicate Form Bean* > Missing Forward Name A_ribute* > Missing Path/Type A_ribute* > Unnecessary A_ribute > Required Input A_ribute > Invalid ExcepOon Scope > Missing Form-‐Property Type > Dangerous RelaOve Path > AcOon Not Validated Configura6on > ASP.NET ConfiguraOon* > PHP ConfiguraOon* > Environment Variable Value > Session Timeout ConfiguraOon* > Session InacOve Interval* > ImplementaOon Time Logic Flaws > Call to ReadLine > Race CondiOon > Hidden Field Improper Error Handling > Unspecified Error Page > JSP Defines Error Page > JSONRPC Security Log Handling > UnsaniOzed Data Wri_en to Logs > Private User Data Logged Cookie Security* >Overly Broad Paths > Insufficient Transport Layer ProtecOon > Session Management Resource Handling > File Input Output > Hibernate Security > Resource Not Closed in Finally Block *2013 OWASP Top 10の関連項目 SecureAssistにより、主な脆弱性攻撃によるリスクを80%減少させることが可能になります。 OWASP Top 10 important risksやCWE Top 25に対応
5.
開発チームはコードに自信が持てるようになります 重要な問題を発見・修正そして学習する好循環を加速します。 | Enabling
Security for Developers | ©2015 Asterisk Research, Inc. 5 1. Find vulnerabiliOes early セキュリティ問題を潜在させない問題発見手法 2. Educate to fix & prevent them セキュリティ欠陥を未然に防ぎ、学習効果向上 3. Improved quality throughout SDLC 開発ライフサイクルを改善し、ソフトウェア品質向上
6.
チーム統合機能: IDE Plugin
and Enterprise Portal | Enabling Security for Developers | ©2015 Asterisk Research, Inc. 6 SecureAssist Enterprise Portal IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE(統合開発環境)Pluginの機能 ・Work Faster ・Work Smarter ・Keep security in mind より早く より効率良く セキュリティを常に意識 ・Ac6onable intelligence 利活用可能な統計情報 ・Simplify updates アップデートの簡略化 ・Manage users ユーザーの管理 ・Deliver Review RuleSet 独自ルールセットの配布 ・Deliver Code Guideline ガイドドキュメントの配布
7.
Enterprise Portal管理画面 | Enabling
Security for Developers | ©2015 Asterisk Research, Inc. 7 • プロジェクトやユーザーごとの 統計情報、可視化、および レポートの出力 • チーム独自のガイドラインの 設定、リアルタイム反映 • ユーザーの管理とプラグイン のライセンス配布 チーム全体のセキュアコーディング状況を集約する機能
8.
リリース直前に脆弱性を見つかって大量修正・・・ セキュリティ品質の確保でお悩みですか? | Enabling
Security for Developers | ©2015 Asterisk Research, Inc. 8 リリース前修正!リリース後の 問題指摘! 脆弱性対策のための手法も 予算も時間もない! ホントに面倒くさい (T_T)
9.
セキュア開発の段階をエンパワーする 開発者のためのSecureAssist | Enabling
Security for Developers | ©2015 Asterisk Research, Inc. 9 Planning & Requirements Design & Architecture Development TesOng ProducOon Maintenance SAST 静的解析 DAST 動的解析 要因の 85% システム脆弱性の85%は 開発段階に起因 • IDEでコードレビュー • チーム統合機能 • コストパフォーマンス 開発レビュー MOINTORING ライフサイクル設計・教育
10.
脆弱性は元から断たなきゃダメ! システム脆弱性の85%は開発段階に起因します。 | Enabling Security
for Developers | ©2015 Asterisk Research, Inc. 10 ソフトウェア開発におけるセキュリティ対応は、開発プロセスの後 工程になればなるほどリスクが高く、手戻りの時間もコストも高く つきます。 開発チームがソースコードにもっともかか わっているタイミングで問題の原因を取り 除くことが必要であり、対策の効率は飛躍 的に向上します。 解決策: 開発者全員が自分で使える Reviewツール。 5X 10X 30X Coding Integra6on/ component tes6ng System tes6ng Produc6on 85% 15X 当段階で発生した脆弱性(%) 当段階で発見された脆弱性(%) 当段階での脆弱性修正コスト
11.
SecureAssist 開発元 米Cigital社のご紹介
cigital.com | Enabling Security for Developers | ©2015 Asterisk Research, Inc. 11 • 世界最大級の、ソフトウェアセキュリティに特化した コンサルティング・サービス提供会社 • 1992年に創業 • 世界で最初の、静的コード解析の商用ツールを開発、 主要な静的解析ツールに採用されている。 • ソフトウェアセキュリティ業界のオピニオンリーダー • OWASP Global Supporter
12.
Cigital社のソリューションを活用している企業 • Fortune 500も含む大手企業270社以上 •
金融機関の上位10社の内9社 • 米国銀行の上位20銀行の内16銀行 • ソフトウェアセキュリティ会社の上位3社 • 保険会社の上位3社 • 米国最大のゲーム会社 • テクノロジー会社の上位10社の内5社 | Enabling Security for Developers | ©2015 Asterisk Research, Inc. 12
13.
Cigital社のCTO Gary McGraw氏 Gary
McGraw, Ph.D.(ゲイリー・マグロー) -‐ Cigital, Inc. CTO • セキュアな開発の方法論の第一人者 • “Building Secure SoBware and SoBware Security” (邦題:Building Secure Soqwareーソフトウェアセキュリティについて開発者が知っているべ きこと)などの著者 | Enabling Security for Developers | ©2015 Asterisk Research, Inc. 13 「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナー としてCigitalを選択してくれたことをうれしく思います。すぐれたソフトウェアセキュリティを実現す る市場を開発することは、実社会において、まさに望まれていることであり、私たち両者がともに 長い期間目指してきたものです。」 -‐ Gary McGraw, Cigital, Inc. CTO
14.
Cigitalとアスタリスク・リサーチのパートナーシップを発表 (2015/4/30) | Enabling Security
for Developers | ©2015 Asterisk Research, Inc. 14
15.
Thanks • 導入のご相談、お見積もり、試用期間
30日のフル機能検証 は無料です。 • 活用手段はさまざま – 開発会社様へのご提供 – コンサルティングとのコラボレーション – セキュア開発ソリューションへの組み込み – 教育ツールとしてのご活用 | Enabling Security for Developers | ©2015 Asterisk Research, Inc. 15 Cigital社チャネルパートナー アスタリスク・リサーチ アプリケーションセキュリティ・チームをよろしくお願いします。
Jetzt herunterladen