Blog｜Webセキュリティはどこから手をつければよいのか？

脆弱性診断、動的アプリケーションセキュリティテスト（DAST / Dynamic Application Security Testing）多くの方が脆弱性を検出する方法として利用されているかと思います。 脆弱性診断では、Webアプリケーションに脅威となる擬似攻撃の実施、既知の脆弱性を行い、攻撃・悪用できる脆弱性、情報漏洩に繋がる恐れのある問題点（ロジック）を見つけることができます。 メリット 緊急度の高い脆弱性を洗い出せる （診断サービスなどを利用すれば）セキュリティの知見がなくてもテスト可能 網羅的 デメリット 診断自体に時間がかかる 問題箇所を特定しなければならず、修正が難しい場合がある アプリケーションが動いていなければならず、脆弱性の作り込みから修正までの時間が長い ソフトウェアコンポジション解析（SCA / Software Composition Analysis）近年OSS

[efcl]

ウェブアプリケーションのセキュリティテストのapproachについて。 動的なDAST、SCA、静的なSASTの組み合わせについて。 脆弱性診断、OSSの脆弱性分析、ツールでの静的なチェックについて