Aikido

ソースコード内に隠れた複雑な脆弱性を検出する

SAST 既知のパターンをSAST 。エージェントは、静的スキャナーでは検出できない認証やビジネスロジックの欠陥を見つけ出します。

データは共有されません - 読み取り専用アクセス - CC不要
5万社以上で活用されています。
|
10万以上の開発者に愛用されています。
|
4.7/5
死角

このコードベースには、長年にわたり未発見の脆弱性が潜んでいた

SAST パターンSAST 、ロジックの欠陥は見逃してしまいます。ビジネスロジックのエラー、競合状態、
、不備のある認証チェックなどは、スキャンでは検出されません。そして今や、攻撃者はAIを使ってそれらを見つけ出そうとしています。

解決策

コード監査により、高度な推論を要する複雑な脆弱性が発見された

Code Auditは、実行中のアプリではなく、ソースコードを対象に分析を行います。ステージング環境や認証情報の設定が不要で、1つまたは複数のリポジトリ(デプロイされていないコードやフィーチャーフラグが設定されたコードを含む)を指定して分析できます。

潜在的なリスクを排除する

Mythosグレードのモデルなら、コードベースに長年潜んでいた脆弱性を洗い出すことができます。火事には火事で対抗しましょう。

ファイルやリポジトリにまたがる脆弱性を検出する

コードが本来行うべき動作を分析することで、不正な認証、IDOR(情報開示)、およびサブスクリプション階層のバイパスを検出します。

重大な攻撃チェーンを修正する

個々の低深刻度の脆弱性を単一の権限昇格経路に統合し、深刻な脆弱性を特定して修正する。

デモ動画

Aikido 4分以内で解説するコード監査

その方法を学ぶ Aikidoのエージェントが、静的スキャナーでは検出できない認証やビジネスロジックの欠陥をどのように見つけるのかをご覧ください。

参照 Aikido の実演

動画をご覧になるには、職場のメールアドレスを入力してください

動画を見る
仕組み

3つの簡単なステップで実現する自律的なセキュリティ推論

ステップ1

リポジトリを接続する

AI Code Auditは、Webアプリ、モバイルアプリ、スマートコントラクト、モノリポ、IaCにおいて、ステージング用URLや認証設定、エージェントの導入を必要とせず、リポジトリから直接実行できます。

ステップ2

エージェントはコードベース全体を分析します

この監査では、データの流れ、所有権の確認、権限の範囲、およびサービス間のやり取りを追跡し、単なる1行の不備だけでなく、ロジックが機能しなくなる箇所を特定します。

ステップ3

完全な証拠の経緯とともに、悪用可能な脆弱性を確認する

各発見事項については、何が脆弱であるか、なぜ悪用されやすいのか、そして攻撃者がどのようにそこに到達するのかが、完全な推論の経緯とともに示されています。

合気道の Aikido コード監査

パターンマッチングではなく、推論

従来のパターンマッチングでは検出できない、テナント間のデータ漏洩といった発見が困難なバグを特定します。

ペンテストの10分の1のコスト

ペンテスト:コードベース全体にわたるペンテスト分析を、数時間ではなく数分で実現。

セットアップは不要、リポジトリを接続するだけです

ステージング環境も、再生するトラフィックも、展開するエージェントも不要です。ソースコードを指定するだけで、脆弱性を検出できます。

ミトス対応の防御

現在の最先端モデルによって容易に防げるようになった種類の攻撃に対抗する。攻撃者の能力に見合った推論を行う。

コードベース内の複雑な脆弱性を発見する

リポジトリを接続して、推論エージェントがコードベースで何を発見するかを確認してください。
あるいはSAST 現在使用しているSAST と並行して実行しSAST 何が不足しているかを確認してください。

SAST コード監査

静的エンジンは、SDLCにおいて依然として重要な役割を果たしている

SAST

SASTいつ使用すべきか

コミットごとに迅速に共通の脆弱性に関するフィードバックが得られます
すべてのPRにおいて、広範かつ継続的な対応が必要です
CI/CD 、既知の悪質なCI/CD PRのタイムゲートを適用しています
Gitの履歴シークレット 」を隠蔽したい
コード監査

コード監査を使用するタイミング

IDOR(情報開示型脆弱性)や、不適切なアクセス制御、ビジネスロジックのバイパスなど、ロジックやアーキテクチャ上の欠陥を検出したい
サービス、モジュール、ヘルパーを横断して参照を追跡する、ファイル間またはリポジトリ間の推論が必要です
重要な変更、リリース、またはコードベースの監査を行っている
特定の結果について、より詳しい背景を知りたい
コード監査を開始する
よくある質問

コード監査に関するよくある質問

コード監査はSAST とどう違うのですか?

静的スキャナーは、不正なパラメータ、リスクAPI 、チェックの欠落といったパターンを検出します。一方、コード監査は、コードベース全体にわたる開発者の意図を分析し、攻撃者の視点から検討する必要がある問題(IDOR、アクセス制御の不備、多段階エクスプロイト 、ビジネスロジックの欠陥など)を特定します。SAST 取ってSAST それを補完するものです。

Code Auditでは、なぜ実際のURLが必要ないのですか?

これはソースコードを直接読み取り、解析を行います。クロール段階も、トラフィックの再生も、実環境での攻撃も一切行われません。したがって、対象となる環境を指定する必要はありません。デプロイ済みのターゲットに対する実環境テストを行う場合は、 Aikido ペンテスト 。

どのようなアプリや言語が対象となっていますか?

あらゆる言語に対応しており、制限は一切ありません。Code AuditはWebアプリに限定されません。エージェントは、接続されたリポジトリに含まれるあらゆるソース(モバイルアプリ、スマートコントラクト、デスクトップアプリなど)を横断して分析を行い、主要なプログラミング言語、設定ファイル、IaC(Infrastructure as Code)に対応しています。複数のサービスを含むモノリポジトリも完全にサポートされています。

なぜリポジトリの制限があるのですか?

コード監査では、エージェントの注目を一貫性のあるコードベースのセットに集中させます。リポジトリ数が一定数を超えると、分析の焦点がぼやけ、品質が低下する傾向があります。1回の監査でそれ以上の数が必要である場合は、サポートまでご連絡ください。

コード監査とAIペンテスト、どちらを選ぶべきか?
  1. どちらの製品も同様のエージェント型エンジンで動作しますが、扱う対象は異なります。Code Auditはソースコードを分析します。 Aikido は、実行中のアプリケーションに対してペンテスト 。
  2. 以下の場合は「コード監査」を使用してください:
    • 本番環境を設定することなく、IDOR(入力データ操作脆弱性)、不適切なアクセス制御、多段階の攻撃チェーンといった、ロジックやアーキテクチャ上の欠陥について、コードを深く分析したいと考えています。
    • 安定したステージング環境やQA環境がない、あるいは本番環境でのテストに向けた認証フローの準備が整っていない。
    • セットアップの手間を最小限に抑え、迅速に作業を開始したい場合:リポジトリを接続し、クレジットを確認して、開始するだけです。
    • 本番環境へのデプロイ前に、ソースコードの変更内容を検証したい。
    • モバイルアプリ、デスクトップアプリ、スマートコントラクトなど、実環境でテストするのが難しいコードベースをお持ちの場合
  3. 使用 Aikido ペンテスト :
    • 実稼働中のターゲットがあり、実際のトラフィックを用いて実際に悪用可能かどうかを検証したい。
    • 実行時の証拠、つまり再現リクエスト、攻撃対象領域のマッピング、およびエージェントのリアルタイムな活動状況が必要でしょう。
    • 対象範囲にはソースに表示されているもの以外にも、ドメイン、認証済みユーザーのロール、およびクロールによって検出されたエンドポイントが含まれます。
    • SOC 2、ISO 27001、または同様のコンプライアンス基準に準拠するには、実環境での侵入テストが必要です。
Code Auditでは、なぜ実際のURLが必要ないのですか?

Code Auditは、ソースコードを直接読み取り、分析を行います。クロール段階も、トラフィックの再生も、実環境での攻撃実行も一切行わないため、対象となる環境を指定する必要はありません。デプロイ済みのターゲットに対して実環境でのテストを行いたい場合は、 Aikido ペンテスト 。

まずは何から始めればいいですか?

「コード監査」は、サイドバーメニューの「攻撃」セクションにあります。

コード監査の費用はいくらですか?

入金済み Aikido クレジットで支払われました。作成フローの「価格設定」ステップでは、確定する前に正確なクレジット総額が表示されます。費用はリポジトリのサイズと複雑さによって異なります。

OWASPの会員特典とは何ですか?

OWASPの個人会員には、Code Auditをお試しいただける200クレジットが1回限り無料で付与されます。特典を受け取るには、
にアクセスしてください。1. owasp.orgのメールアドレスを使用して、 Aikido を作成してください(
)。2.Aikido 氏名とOWASPのメールアドレスを入力し、クレジットを受け取ってください。