New Relicは2023年8月31日、クラウド型システム性能監視ツール「New Relic」の新機能として、脆弱性検出/アプリケーションセキュリティテスト機能「New Relic IAST」を発表した。アプリケーション性能管理(APM)に使うNew Relicの既存のエージェントに同機能を組み込んでいる。同機能を有効にした状態で機能テストを実行すると、アプリケーションコードに含まれる脆弱性をリアルタイムに検出して報告する。
New Relicは、クラウド型システム性能監視ツールの「New Relic」を提供している。監視対象のシステムやアプリケーションからデータを収集して可視化する。2023年2月のリリースでは、ソフトウェアの脆弱性を検出する機能「New Relic Vulnerability Management」を追加している(関連記事:システム性能監視ツール「New Relic」でソフトウェアの脆弱性管理が可能に)。
今回、ソフトウェアの脆弱性検出/アプリケーションセキュリティテスト機能の「New Relic IAST(Interactive Application Security Testing)」のプレビュー機能を発表した。一般的な脆弱性検出機能は、ソフトウェアの構成情報から脆弱性のあるライブラリの使用有無を調べる手法をとるが、IASTでは、アプリケーションのコードすべてを対象に脆弱性のある処理を検出し、修正案まで提示する(図1)。
図1:システム性能監視ツール「New Relic」に追加する脆弱性検出機能「New Relic IAST」の概要(出典:New Relic)拡大画像表示
アプリケーション性能管理(APM)に使うNew Relicの既存のエージェントソフトウェアにIAST機能を組み込んでいる。IASTを実行すると、アプリケーションコードに含まれる脆弱性をリアルタイムに検出して報告する。これにより、本番リリース前の開発工程で脆弱性に対処できる。テスト範囲にもよるが、機能が正しく動作するかを確認する機能テストと同一のテストシナリオを流用して脆弱性の検出も行える。
IASTでは、アクセスしたURL(Web API)ごとがコードレベルで脆弱性の有無が分かる。「このJavaクラスの中の、このメソッド」といった粒度で調べることができる。脆弱性の内容として、「URLのパラメータ文字列を無害化していないのでSQLインジェクションにつながる」といったことが分かる。
解析可能なプログラミング言語としてJava、Node.js、Goの3つをサポートしている。今後、Ruby、Python、PHPについても脆弱性を検出できるようにする予定である。
