アプリケーションセキュリティ

• 自社で利用しているOSSの依存関係と脆弱性を把握できておらず、影響範囲を特定できていない
• 社内のルール上、シークレット情報をソースコードの中に混入させないようにしているが、徹底できていない
• 過去に静的解析ツールを利用したが、膨大な量のアラートが出て運用がうまく回らず、利用をあきらめた

利用者向けセキュリティ

• 開発者自身でリポジトリの公開設定を編集できるため、企業資産等の機密情報が漏えいするリスクがある
• ID/パスワードが盗まれたり、パーソナルアクセストークンやSSHキーが漏洩して不正ログインされる危険性がある
• ある従業員が退職したにも関わらず、退職後もアクセス可能な状態が続いていた

Application Security

サプライチェーン

オープンソースコンポーネントの
安全性とコンプライアンス維持

コード

ワークフローの一部として
コードの脆弱性を検知・修正

開発ライフサイクル

セキュリティやコンプライアンス
ポリシーをコードとして作成・実行

Developer Security

サプライチェーン

権限設定による
機密情報漏洩の防止

コード

接続元の確認による
セキュアなアクセス

開発ライフサイクル

多要素認証・認可により信頼レベルに
応じたアクセス制御

Code Scanningの効果

• 開発の早期に脆弱性を発見
  既知の脆弱性を開発のフェーズで予防することにより、修正コストの削減
• 正確な解析
  CodeQLはコードのコールグラフ、コードの意味を解釈して解析を実行するため、非常に高い正確性(＝誤検知が少ない)を実現。また、解析結果のレビューにかかる時間を削減
• 優先順位付けされたアラート
  解析結果は3段階に優先順位付けされるため、重要なものから対処することが可能
• コミュニティの活用
  GitHubや他の企業、オープンソースコミュニティによって作成されたクエリを活用