ほとんどのセキュリティツールは開発者の時間を浪費しています。私たちはこの問題を解決することを使命としています。
アプリケーション開発者は、セキュリティに関心を持つことに対して報酬が支払われるわけではありません。彼らのパフォーマンスは、新機能や機能強化を通じてビジネスに価値を付加できるスピードによって測定されます。
これにより、従来のセキュリティツールは開発者向けに構築されておらず、また役立つように設計されていないため、かえって障壁となります。それらの役割は、大量のセキュリティアラートを表示するだけであり、残りの解決は開発者に委ねられています。
At Aikidoでは、アプリケーションのセキュリティを可能な限り迅速かつ容易にすることを使命としており、そのための最も重要な方法の1つは、開発者の時間を浪費し、セキュリティ修正のリリースを遅らせるノイズと誤検知を減らすことです。
この記事では、開発者が悩むアラート疲れ症候群に対する解決策として、Aikidoが何をするのかをご紹介します。
ノイズの削減
ケニー・ロジャースは、彼の有名な歌「The Gambler」でそれをうまく表現しています。
「生き残る秘訣は、何を捨てるべきか、何を残すべきかを知ることだ。」
シグナル・ノイズ比に最も大きな影響を与えるのは、開発者に行動を起こすべきCVEsとセキュリティアラートのみを表示し、それ以外を無視することです。
Aikidoが関連性のないセキュリティアラートやCVEをインテリジェントに無視する方法をご紹介します。
開発環境のみの依存関係
デフォルトでは、Aikidoは開発環境でのみインストールが指定されている依存関係の脆弱性を報告しません。これは、それらがステージング環境や本番環境に存在すべきではないためです。
無効なCVEまたは修正のないCVE
修正のないCVEを表示することは、単なる注意散漫です。そのため、Aikidoは、修正が利用可能になるまで、これらを一時的に無視された問題のリストに移動し、ダッシュボードに表示される前に処理します。
到達不能なコード
Aikidoのコードインテリジェンスとリーチアビリティエンジンは、コードベースで脆弱な関数が呼び出されていない場合、CVEを無視します。
これにより、特にTensorFlowのような多くの依存関係を持つ大規模なライブラリにおいて、ノイズが減少します。
期限切れまたは取り消されたシークレット
Aikidoはすでに無効な秘密情報や、単なる変数名と思われるものは、自動的に無視されるため、不要なアラートが発生しません。Aikidoは秘密データを生成しない認可を必要とするAPIエンドポイントにリクエストを送ることで、既知のシークレットタイプの妥当性を安全に検証します。
手動無視ルール
Aikidoは、特定の条件下で脆弱性を無視するように設定できます。例えば、リポジトリ内の特定のパスに対する報告を無視する、といった設定が可能です。
重複除去
ほとんどの企業は、セキュリティインフラを複数の異なるソースから寄せ集めているため、複数のシステムが同じアラートやCVEを表面化させることがよくあります。さらに、従来のツールが単一のリポジトリ内で同じCVEを複数回表面化させることも一般的です。まさにノイズです!
Aikidoはすべてのセキュリティ問題を一元的に管理できるオールインワンプラットフォームであるため、各リポジトリに対して単一のCVEアラートのみが表示され、各脆弱性の場所を示すサブイシューがリストされます。
コンテキストに応じた感度調整によるシグナルの強化
機密データを扱うリポジトリで発見されたセキュリティ問題は、データを一切永続化しない内部専用リポジトリとは異なるスコア付けをすべきです。
Aikidoは、すべてのリポジトリに対してさまざまなコンテキスト指標を提供し、より多くのセキュリティリスクを明らかにし、問題の最終的な重大度スコアを適切に重み付けするのに役立ちます。
例えば、ドメイン名を追加することで、AikidoはSSLの脆弱性、クッキーの誤設定、CSPの適用状況、そしてクロスサイトスクリプティング(XSS)攻撃といった問題に対して、ターゲットを絞ったスキャンを実行できます。
その他のコンテキスト上の例としては、アプリケーションがインターネットアクセスを持っているかどうか、およびアプリケーションがどの環境にデプロイされているかなどが挙げられます。
エクスプロイトリスクのシグナルを強化する
Aikidoは、CVEが実際にエクスプロイトされる可能性を追跡するためにリアルタイムの指標を使用します。例えば、エクスプロイトの確認事例、エクスプロイトの実行方法を文書化した公開コード、および顧客固有のクラウドインフラストラクチャの懸念事項など、特に脆弱になる可能性のある要素が含まれます。
Aikidoはコードとクラウドインフラストラクチャの両方を監視するため、アプリケーションがホストされている特定の条件に起因する「有害な組み合わせ」の問題の深刻度を高めることができます。例えば、IMDS APIバージョン1を使用するAWSインスタンスは、AWS Credentialsを公開する可能性のあるSSRFエクスプロイトに対してより脆弱です。
まとめ
従来のセキュリティツールは開発者の生産性を考慮しません。彼らは喜んでリポジトリを大量の誤検知で埋め尽くし、開発者がセキュリティ問題の解決に費やすべき時間を無駄にしています。
Aikidoが他と異なるのは、開発者の生産性とセキュリティの関連性を認識している点です。無関係なアラートやCVEを排除することで、真の脅威により多くの注意が向けられ、結果として修正がより迅速に適用されます。
開発者とセキュリティにとってのこのWin-Winこそが私たちの目指すものであり、お客様のセキュリティアラート疲れ症候群を解消する方法です。
実際に試してみませんか?サインアップして最初のリポジトリをスキャンし、2分以内に最初の結果を取得してください。
