AIToday

開発者向けセキュリティスキャナ「isitsecure」 オープンソース公開

Hacker News3時間前
開発者向けセキュリティスキャナ「isitsecure」 オープンソース公開

要点

開発者向けのオープンソースセキュリティスキャナ「isitsecure」が公開されました。SAST、DAST、LLMコード審査を1つのコマンドで実行でき、APIキー不要で40~44個の検査ルールが利用できます。LLM機能は別途APIキスト(約$5~15)が必要ですが、商用ツールを複数購入するより効率的に複合的なセキュリティチェックができるため、開発チーム向けの選択肢として注目されます。

こういう要約が、毎朝あなたのメールに届きます。

無料で登録 →

3つのポイント

  • 何が起きたか

    TypeScript/JavaScript、Python、Java/Kotlinなどの言語に対応した統合セキュリティスキャナ「isitsecure」がオープンソースで公開されました。SAST(静的解析)、DAST(動的解析)、LLMコード審査を1つのコマンドで実行できます。

  • なぜ重要か

    開発者が自分たちのアプリを簡単にセキュリティチェックでき、商用ツールなら別々に購入する機能を無料で使える点が利点です。API費用なしで基本的な40~44個の検査ルールが動作し、LLM機能を使う場合のみ約$5~15の費用がかかります。

  • 注目点

    isitsecureは実装漏れを自動検出してDAST検査を生成したり(「認証チェックなし」→実際に認証なしリクエストを送信)、生成AIで修正パッチを出力したりできます。macOS、Linux、Windowsで利用可能です。

背景と解説

isitsecureはセキュリティスキャニングの複数のアプローチを統合したツールです。従来の商用ツールではSAST、DAST、LLMベースの審査を別々のツールで提供していましたが、このプロジェクトは開発者が1つのコマンドで全てを実行できるようにしました。特に注目される設計は、ソースコード解析で検出した脆弱性パターンが自動的に動的検査ガイダンスに変換される点です。例えば認証チェック漏れが静的解析で見つかると、実際にその脆弱性が動作環境で悪用可能かどうかDAST検査が行われます。さらにAI生成機能により、単なる問題報告に止まらず、修正パッチまで開発チームに提供できます。APIキーなしでも基本的な検査が無料で利用でき、LLM機能を使う場合の費用も数千円程度に抑えられることで、小規模から中規模の開発チームの導入障壁が低くなっていることが特徴です。

よくある質問

isitsecureはいくらかかりますか?
isitsecureはオープンソースで無料です。LLMコード審査などのAI機能を使う場合、APIトークン費用として約$5~8(コード審査のみ)または約$10~15(SAST+DAST+LLM審査の全機能)かかります。
どのプログラミング言語に対応していますか?
TypeScript/JavaScript(Next.js、Express、tRPC)、Python(Django、FastAPI、Flask)、Java/Kotlin(Spring Boot)に対応しており、任意のHTTP APIに対しても動的解析が可能です。
デフォルトではどの検査が実行されますか?
デフォルトでは40個の検査ルールが実行されます。--depth deepオプションを指定すると4つの追加スキャンが実行され、合計44個の検査ルールが動作します。

ディスカッション

まだコメントがありません。最初のコメントを投稿しましょう!

ログインして議論に参加

関連記事

AIニュースを毎日お届け

200以上のソースから厳選したAIニュースを毎日無料でお届けします。

無料で始める

登録無料・30秒で完了・いつでも解除できます

毎朝1分、AIの要点だけ。

200媒体以上・Email/LINE/Slack 対応

無料で受け取る →