HCL AppScan で DeFi アプリケーションを保護する
2022/2/1 - 読み終える時間: 2 分
Secure DeFi Applications with HCL AppScan の翻訳版です。
HCL AppScan で DeFi アプリケーションを保護する
2022年1月28日
著者: Orlando Villanueva / Product Marketing Manager, AppScan
ここ数カ月で分散型金融(DeFi)市場が爆発的に拡大する中、アプリケーション・セキュリティは企業だけでなく、多くの企業にとってますます重要なものとなっています。DeFiの人気の高まりは、暗号通貨市場におけるその支配力を見ればわかります。coinmarketcap.comによると、上位100の暗号通貨のうち約50%が、ユーティリティー構造の一部としてDecentralized Financeプロトコルを搭載しているとのことです。
最近の記念碑的な成長にもかかわらず、DeFiは完璧ではありません。取引所に保管されている資金の安全性に関する懸念は絶えません。cryptosec.info によると、"2021年12月現在、DeFi市場内で発生したDeFiエクスプロイトは合計?75件あり、失われた資金はこれらのエクスプロイトの時点で合計?約17億ドルに達しています。" 分散型取引所がユーザーデータを適切に保護しない場合、機密情報は漏洩し、ユーザーは広範な個人情報の盗難に遭い、投資家は大きな資金喪失を経験することになるのです。
このブログでは、DeFiとは何か、開発者がコードを保護する際に活用すべきベストプラクティスとは何か、そしてHCL AppScanの柔軟な展開と複数のスキャンソリューションが、アプリケーションを継続的に保護し、あらゆる脆弱性を迅速にスキャンするためにどのように役立つかを探っていきます。
分散型金融(DeFi)とは?
DeFiは、ユーザーが中央集権的な機関の外でサービスにアクセスできるようにする新しいタイプの金融システムです。公平性と平等性を約束し、中間マージンを取らずにお金、投資、ローン、保険などを約束することで投資家を惹きつけています。
2014年に初めて登場したDeFiは、従来の銀行システムの透明性の欠如と規制管理の制限をめぐる懸念から開発されました。投資家は、ビットコインのブロックチェーンとイーサリアムのスマートコントラクトを通じてDeFiの代替プラットフォームを構築し、資金を直接受け取ることでこれらの問題を回避し、安価な取引、銀行の救済措置に対する保険、および透明性の向上を実現しました。DeFiは、政府の検閲を受けることなく、極めて低い手数料で極めて速い速度を提供します。
DeFiアプリケーションのセキュリティを確保するには?
従来の銀行業界と同様に、ほとんどのアプリケーションにはアプリケーション・セキュリティ・アセスメントで同じ脆弱性とリスクが含まれているため、DeFiサービスではアプリケーション・セキュリティ・テスト(AST)が重要です。
プロジェクトの安全性を高めるには、まず、アプリケーションのスキャンを行い、Webの脆弱性を確認します。アプリのビジネスロジックの欠陥を可視化したら、自動化されたWeb脆弱性テストを設定し、OWASPトップ10 の脆弱性 がカバーされているかどうかを確認します。最後に、DeFiプロジェクトを安全かつセキュアに維持するために、以下の3つのステップを実行する必要があります。
-
静的解析ツール(SAST)を利用して、バグを早期に検出する。このツールは、スマートコントラクトを自動的にスキャンして、潜在的な脆弱性を探します。
-
ソリューションの自動テストスイートを有効にする。従業員は素晴らしいですが、脆弱性を継続的に監視するために従業員に依存すると、コードカバレッジの欠如やデプロイの遅れにつながる可能性があります。
-
ソフトウェアライフサイクル全体にセキュリティファーストのアプローチを取り入れる。本番稼動前に安全で信頼できるスマートコントラクトを構築するために常に最善を尽くすべきですが、ブロックチェーンとDeFi技術の現実は常に変化しているため、プロジェクトが攻撃のリスクにさらされる可能性があることを意味します。常に発展し続けるDeFiの性質に対応するために、セキュリティは全チームで共有する責任にしましょう。適切なASTツールを提供し、エンタープライズレベルの可視性を取り入れて、SDLCプロセスの各ステップで継続的にプロジェクトを保護することができます。
HCL AppScanでDeFiアプリケーションのセキュリティを維持する
HCL AppScanでアプリケーションのセキュリティを継続的に確保します。潜在的な脆弱性をオンザフライでスキャンする場合でも、継続的な自動テストソリューションを有効にする場合でも、AppScanは以下の機能でお客様をカバーします。
- クラウド、オンプレミス、またはその両方のハイブリッドでの柔軟な展開。
- SAST、DAST、IAST、OSAを含む複数のセキュリティテストツール。
- お客様のアプリケーションセキュリティプログラムの健全性と成功のために、さまざまなサポートサービスを提供します。
すべてのDeFiプロジェクトにおいて、ソフトウェア開発ライフサイクル(SDLC)の早い段階で脆弱性に対処し、安全なプロトコルをより速く、より大規模に提供します。
AppScanの一連のセキュリティテストツールの詳細については、こちら をご覧ください。