トップへ戻る

ソースコード自動診断 Cracker Probing-Eyes Core

開発段階からの脆弱性チェックをオンデマンドで実現

アプリケーションのソースコードをCPE Core専用のポータルにそのまま圧縮/アップロードするだけで、ソースコードの脆弱性と品質の診断を行える自動分析ツールです。お客様はあらたな設備投資不要でご利用いただけます。開発のあらゆるタイミングで品質分析が行えるため、開発の上流工程で問題への対応が可能となり、コストや労力の削減を実現できます。

サービス概念図

サービスの特長

手間なくソフトウェアの品質と脆弱性を検査

開発ソフトウェアの品質と脆弱性を同時に検査することが可能です。またコンパイルすることなくWebブラウザ経由でソースコードをそのまま圧縮してアップロード/診断する利便性を提供しています。

幅広い診断対象

多様なプログラムに対応できるよう、様々な業界標準、各種プログラム言語に対応しています。

任意のタイミングに診断が可能

診断のタイミングを自由に設定できるだけでなく、短時間で結果を確認する ことができ、時間の切迫する開発現場が望む診断時間の短縮化に大きな 効果を発揮します。

わかりやすい診断結果

ブラウザ上では、セキュリティリスクの結果だけでなく、そのリスクが発生する流れを確認することができます。

高い費用対効果

サービス範囲内であれば、いくらでもアップロード/解析/結果確認が可能なため、費用対効果にも優れています。

スピーディーかつ高品質の診断レポート

診断直後に受け取れるレポートは、BBSecのナレッジが集約された国内企業に最適化された内容です。

分析エンジンの特長

高い検知精度 非常に低い誤検知率(False-positive)
⇒ 誤検知スクリーニングの手間を大幅に削減
充実した情報 CWE※ 解説、影響、攻撃フローの表示が可能
⇒ 技術者の「なぜ」に応える情報が、OJT効果を高めます
使いやすさ コンパイル前のソースコードに対応
⇒ スキャン前準備はアップロードするだけ。開発現場の負担を抑えます

※ 共通脆弱性タイプ一覧 Common Weakness Enumeration (CWE)
脆弱性の概要、攻撃の受けやすさ、一般的な脅威、脆弱性の軽減策、脆弱性の発生する具体的なコーディング例、当該脆弱性に起因する具体的な事例の紹介などの情報が整理されています。利用者は、脆弱性を識別し、脆弱性の低減を行い、再発を防止するための辞書として活用することができます。
出典:独立行政法人 情報処理推進機構(IPA) 共通脆弱性タイプ一覧CWE概説 (2016.01.27)

画面イメージ

サービス概念図

主たる機能

ユーザー/プロジェクト管理機能
  • プロジェクトの管理
  • サービス利用可能ユーザの管理機能
ソースコードアップロード機能
  • Webインタフェース経由でソースコードをアップロード
スキャン結果レポート生成
および表示機能
  • アップロードされたソースのスキャン結果レポートの生成
  • ユーザポータル上での確認、PDFダウンロードが可能
ワークベンチ機能
  • スキャン結果の確認と編集
  • 過検知の除外

診断対象

対応業界標準 OWASP Top 10、MITRE CWE、SANS 25等
対象開発言語 C/C++、Java、JSP、C#、VB.NET、ASP.NET、JavaScript、ASP/VBScript、PHP、Objective-C
使検知可能な脆弱性の例 SQL Injection、Session fixation、Cross-site scripting、Session poisoning、Code injection、Unhandled exceptions、Buffer overflow、Unreleased resources、Parameter tampering、Unvalidated input、Cross-site request forgery、URL redirection attack、HTTP splitting、Dangerous files upload、Log forgery、Hardcoded password、DoS 他

レポートイメージ

診断ツールが自動生成するレポートではなく、ツールの分析結果にBBSecのセキュリティナレッジを反映させたレポートの出力が可能です。

サービス概念図

活用例

金融機関で
  • 既存システムに対する品質や脆弱性チェックに
  • 自社の標準コーディングルールに遵守しているかのチェックに
ソフト開発/SI会社で
  • 開発中プログラムのステップ毎の脆弱性/品質検査に
  • 最終テスト直前の総合検査に
広告代理店で
  • 外注開発会社に依頼したWebアプリケーションやシステムの脆弱性/品質チェックに
自社開発プログラムを多くもつ企業で
  • 開発プログラムの事前チェックに
  • 追加開発プログラムと既存プログラム連携における脆弱性/品質チェックに

*文中の会社名または製品名は、各社の商標または登録商標です。

資料請求・お問い合わせ 資料請求・お問い合わせお問い合わせフォームへ

関連サービス