要約
- SASTツールのユーザーは、誤検知(FP)について頻繁に苦情を述べている。
- Fortify SASTツールもFPを生み出すが、スキャンポリシーやフィルターセット、カスタムルール、AI搭載のFortify Aviatorなどを使用することで効率的に管理できる。
- FPを防ぐためにツールを改善するという提案があるが、それにはリスクが伴う。
- FP管理において、煙感知器の例を通じてSAST FPを理解することが重要である。
- SASTの世界では、アルゴリズム、ルール、およびコンテキストによってFPの原因が分かれている。
考察
SASTツールでのFP管理は重要であり、アルゴリズムやルールに加えて、コンテキストが重要な役割を果たしていることが理解されています。リソース制約やFPとFNのトレードオフを考慮しながら、ツールベンダーとユーザーはそれぞれ改善を試みる必要があります。AIを活用したソリューションの展開やリスクアペタイトの明確化など、今後の方向性が示唆されています。
元記事: https://blogs.opentext.com/fortify-aviator-secure-code-warrior-smarter-faster-appsec/