IPA、ぜい弱性情報DB「JVN iPedia」で情報自動収集を試行、開発者側から登録可能に

 独立行政法人情報処理推進機構(IPA)は2009年4月28日、運営しているぜい弱性対策情報データベース「JVN iPedia」で、製品開発者が発信するぜい弱性対策情報の自動収集を試行開始した。自動収集を利用することで、開発者は製品ユーザーに広く対策を促すことができるようになるという。

IPA、開発者向けにTCP/IP脆弱性検証ツール最新版を無償貸出

 独立行政法人情報処理推進機構(IPA)は2009年1月8日、TCP/IPを実装したソフトウェアの脆弱性検証ツール最新版を開発者向けに貸出開始した。既知の脆弱性を体系的に検証し、再発を防止できるという。費用は無償で、貸出期間は1年間(更新可能)。日本国内の製品開発ベンダーで、法人格を持つ事業体が対象。

神戸デジタル・ラボ、Webサイト診断用テスト環境の構築サービスを開始

 神戸デジタル・ラボ(本社:神戸市)は2008年12月1日、実システムと同じ環境を構築して、事前にサイトのセキュリティ診断などができる「診断用テスト環境の構築サービス」を開始した。価格は、WebサーバとDBサーバを1台のマシンで構成する「サービスプラン1台パック」で20万円から(別途ProactiveDefense診断価格がかかる)。

OpenVASを使ったセキュリティ監査

openvas_thm.png

 セキュリティはもちろん重要だが、絶えず最新の対策を用意することは難しく、脆弱性のチェックをネットワーク全体に対して行うのは非常に面倒でもある。よって、そうしたテストを自動化し、なおかつ最も適切な最新のテストを実行できる方法が必要になる。 Open Vulnerability Assessment System (OpenVAS)は、セントラルサーバとGUIフロントエンドからなるネットワークセキュリティスキャナである。OpenVASサーバは、Nessus Attack Scripting Language(NASL)で書かれた何種類ものネットワーク脆弱性テスト(NVT)を実行できる。また、こうしたテストはOpenVASプロジェクトによって頻繁に更新されている。

テクマトリックス、Javaテストツール「Jtest」に脆弱性検出機能を標準搭載

 テクマトリックスは2008年10月6日、米Parasoftが開発したJavaテストツール「Parasoft Jtest 8.3」に脆弱性検出機能などセキュリティ関連機能を追加したと発表した。これまで別売オプションで個別対応していた機能を標準搭載にした。価格は据え置きで、既存ユーザーは無料で追加機能を利用できる。

ratproxy――Webアプリケーションのセキュリティレベルを検証するGoogle提供ツール

 Webアプリケーション開発者によるセキュリティレベルの検証作業をサポートすることを目的として、 ratproxy と呼ばれるオープンソース型ツールが先日Googleからリリースされた。これはWeb 2.0およびAJAXアプリケーションを対象に構築された非破壊型の検査ツールであり、セキュリティ上の問題点が可読性に優れた形式にてレポートされるようになっている。

オープンソースソフトのセキュリティ問題を警告ーー米Fortify

 セキュリティ企業の米Fortify Softwareは7月21日(米国時間)、オープンソースソフトウェアにおけるセキュリティを調査したレポート「Open Source Security Study」を発表した。オープンソースの採用が増加しているが、オープンソース開発プロセスにはセキュリティが組み込まれていないと警告している。