08 09 10 11 12 実装・単体テスト ➢いずれもCI/CDパイプラインの自動プロセスに組み込み可能 ➢動的解析(DAST)については、フルで行うと時間がかかりすぎる(数日かかる)ので、総合テ ストあたりで別途行い、CI/CDでは簡易チェックに留めるのが良いと思う 静的コード解析(SAST) 動的解析(DAST) 依存関係チェック(SCA) 対象 ソースコード 稼働中のアプリケーション ライブラリ・フレームワーク・依存モジュール 検出できる脆弱性 コーディングミス 設定ミス、認証・認可の不備、動作中の脆弱性 既知の脆弱性(CVE)、ライセンス違反 検出方法 ソースコードの静的解析 疑似攻撃を実施 使用中のライブラリや依存関係のチェック 代表的なツール SonarQube, CodeQL, Checkmarx OWASP ZAP, Burp Suite, AppScan Snyk, Dependabot, OWASP Dependency-Check この辺り+リリース後の改修