IDEでのSASTが無料に: 開発が実際に発生する場所へSASTを移行

私たちは、チームがSASTを使用する方法に根本的な変更を行っています。

IDEでのSASTは現在無料です。

これは、開発者がAikidoと同じ分析エンジンとSASTルールを使用して、リアルタイムのフィードバックとプロジェクト全体の可視性を備え、エディタ内で直接SASTスキャンを実行できることを意味します。検出は開発者の作業中に自動的に実行され、検出レイヤーでのカバレッジを制限することはありません。

Aikidoのアプローチ：SASTがIDEに属する理由

SASTは、開発者が完全なコンテキストを保持している間に検出結果に基づいて行動できる場合に最も価値があります。多くのチームでは、SASTスキャンは主にCIまたは後のレビュー段階で実行されます。これはカバレッジには効果的ですが、このタイミングはしばしば摩擦を生じさせます。検出結果はコードがすでに進んだ後に届き、所有権は不明確になり、修正作業は新しい作業と競合します。

IDEでスキャンを実行することで、開発ライフサイクルの早期に検出が可能になります。開発者が普段使用している環境内で、コードの記述や変更時に問題が表面化します。これにより、コンテキストが維持され、問題が下流に伝播する前に理解し、対処することが容易になります。

IDEレベルのSASTスキャンは、後期のコントロールに取って代わるものではありません。その代わりに、それらに到達する問題の数を減らします。

コード作成中のリアルタイムSAST

AikidoのIDEプラグインはエディターに直接統合され、リアルタイムSASTスキャンを自動的に実行します。

開発者がファイルを開いたり保存したりするたびに、プラグインはAikidoプラットフォームと同じ分析エンジンを使用してバックグラウンドスキャンを実行します。このスキャンは、安全でないコーディングパターン、インジェクションリスク、安全でないデシリアライゼーション、その他のコードレベルの脆弱性といったSASTの問題を検出します。

検出された問題は以下のように表示されます。

• エディター内でインライン表示、下線、またはハイライト表示されます。
• Aikidoのサイドバーで、深刻度とカテゴリ別にグループ化されています。
• 「問題」パネルに表示され、素早いナビゲーションが可能です。

ホバー時に追加のコンテキストが表示されるため、開発者はエディターを離れることなく問題を理解できます。

IDE内でのプロジェクト全体SAST

リアルタイムのフィードバックは、ワークスペース全体のスキャンによって補完され、開発者は現在開いているファイルだけでなく、より多くのファイルを分析できます。

ワークスペーススキャンにより、開発者は以下が可能になります。

• リポジトリのセキュリティベースラインを確立する
• 大規模なリファクタリングや変更をレビューする
• コードをプッシュする前に広範な修正を検証する

ワークスペーススキャン中、Aikidoは選択されたスコープ全体で同じSASTチェックを実行します。結果はエディタ内でインライン表示され、カテゴリ別にグループ化されたスキャン結果パネルにも表示されるため、レビューは別のツールではなくIDE内で完結します。

一貫したSASTルールとシグナル

IDEでのSASTスキャンは、Aikidoプラットフォームと同じSASTルール、分析エンジン、および深刻度定義を使用します。

縮小された、またはIDE固有のルールセットはありません。ローカルで検出された結果は、チームが他のワークフローで後から確認する内容と一貫しており、これにより混乱や優先順位の不一致を防ぎます。

AutoFixでCI前にSASTの問題を修正

SASTの問題を早期に検出することは、問題の一部に過ぎません。本当の課題は、開発を遅らせることなく、検出結果を適切なコード変更に変換することです。

サポートされているSASTの検出結果に対して、AikidoはAI AutoFixを提供しており、問題が導入された瞬間にIDE内で直接レビュー可能な修正を生成します。

AutoFixはSASTルールごとに作成され、機能を損なうことなく根本原因に対処するために調整された修正指示を使用します。各修正は明確な差分として表示され、開発者はすぐにレビューして適用できます。適用後、ファイルは自動的に再スキャンされ、問題が解決されたことを確認します。

SASTの問題がプルリクエストやCIに到達する前に修正することで、チームはコンテキストスイッチを減らし、修正を日常の開発の一部として維持できます。

これにより、回避可能なSASTの検出結果がプルリクエストやCIに到達するのを防ぐことができます。

対応IDEと対応言語

IDEでの無料SASTスキャンは、VS Code、Cursor、Windsurf、Kiro、Google Antigravityを含むVS Codeベースのエディターで利用できます。

JetBrains IDEプラグイン（IntelliJ、PyCharm、GoLandなど）は、有料プランで利用可能です。

IDE SASTは、JavaScript、TypeScript、Python、Java、.NET、PHP、Ruby、Go、Elixir、Rust、Kotlin、Scala、Swift、C/C++を含む最新のプロダクション言語をサポートしています。

SAST：開発が実際に起こる場所

IDEで直接SASTスキャンを実行することで、開発者がセキュリティの検出結果にどのように、いつ関与するかが変わります。問題はコードが書かれている最中に表面化し、レビューやCIを通過した後ではありません。コンテキストはそのまま維持され、所有権は明確になり、修正はより簡単になります。

SASTをエディタ内に保持することで、パイプラインの後期段階に到達する問題が減り、SASTは個別のセキュリティステップではなく、日常の開発の一部となります。

IDEでSASTを始めましょう。

IDEにAikidoプラグインをインストールすると、作業中にSASTスキャンが自動的に実行されます。

IDE連携についてはこちらをご覧ください：https://help.aikido.dev/ide-plugins

‍