@shinyaz

Security Agent の sourceCode と documents は処理パイプラインが根本的に異なる

約1分
#aws#security-agent#penetration-testing

Security Agent のペンテストで sourceCodedocuments の両方を試したところ、STATIC_ANALYSIS フェーズの内部タスクがまったく異なった。

documents の場合:

Output (list-pentest-job-tasks)
DOCUMENTS        → COMPLETED
SCANNER          → COMPLETED
TLS SCANNER      → COMPLETED
CRAWLER          → IN_PROGRESS

sourceCode の場合:

Output (list-pentest-job-tasks)
CODE SCANNER [BUSINESS LOGIC]      → IN_PROGRESS
CODE SCANNER [IMPORTANT FLOWS]     → IN_PROGRESS
CODE SCANNER [FRAMEWORKS]          → IN_PROGRESS
SCANNER                            → COMPLETED
TLS SCANNER                        → COMPLETED

sourceCode では3つの CODE SCANNER が並列で静的分析を実行し、PENTEST 開始前に脆弱性を検出する。VALIDATOR TASK が動的に再現検証してから CRAWLER → PENTEST に進む。結果として sourceCode は28件(documents の13件の2倍以上)の Finding を報告した。ただし静的分析の網羅性が高い分、FALSE_POSITIVE も4件発生した(VALIDATOR が自動判定)。

共有する

田原 慎也

田原 慎也

ソリューションアーキテクト @ AWS

AWS ソリューションアーキテクトとして金融業界のお客様を中心に技術支援をしており、クラウドアーキテクチャや AI/ML に関する学びをこのサイトで発信しています。このサイトの内容は個人の見解であり、所属企業の公式な意見や見解を代表するものではありません。

もっと見る