Version 6.9.29が公開されました。
Syhunt Hybrid 6.9.29では、AI搭載機能をさらに拡張し、プログラミング言語「SAST for Object Pascal」を追加しました。
SyhuntのAI機能をさらに拡張し、SASTスキャンのレポートに、脆弱性コードと一緒に修正済みのコード例を表示するオプションが追加されました。また、長年多くの要望があった「SAST for Object Pascal※1」を今回、新たに加えたことでSyhuntは10種類のプログラミング言語に対応できるようになりました。
Object Pascalでは、Delphi XE※2で開発されたAndroid/iOSアプリや、Delphi XE、Delphi 7、Lazarus、DWSなどの過去のバージョンで作成されたWebアプリやその他のアプリを対象としています。また、25種類の脆弱性をカバーし256以上のチェック項目が含まれています。これによってDelphiおよびObject Pascalで開発されたアプリケーションに対して、より高度なセキュリティ分析が可能となり、Syhuntは包括的なObject Pascal向けのSASTツールとしてご利用いただけるようになりました。
また、今回のSASTスキャンで特定された脆弱なコードの報告にパッチされたコード例を自動的に追加する新機能は、先日追加された他のAI機能と同様でプライバシーバイデザインと効率的なAPI使用を使用しています。この機能を「有効」にすると、OpenAIへ脆弱性のあるコードを抜粋して送信すると同時に、認証情報やハードコード情報などの機密情報は送信されないよう予防措置をとっています。また、結果をキャッシュすることで、重複クエリも防止しています。プライバシーを配慮したAPIの使用により、Syhuntの新しい機能は効率的に設計されています。
<SyhuntのCEO、Satu氏コメント>
"今日のアプリケーションや環境の複雑化に伴い、AIを活用したサイバーセキュリティソリューションへのニーズが高まっていることを私自身も実感しています。そして、この追加は、私たちの開発チームがAIによるアプリケーションセキュリティにおける可能性を広げることに真剣に取り組んでいることを示しています。"
変更履歴
- AI機能の拡張
- AI環境設定で、パッチ適用済みコード例で修復情報を拡張できる機能を追加しました。(デフォルトで「有効」になっていますが、機能するには対象のコードリポジトリのルートに「.aipatchconsent」ファイルが必要になります。)
- AI環境設定で、レポートの翻訳を「無効」にする機能が追加されました。(デフォルトは「有効」になっています。)
- Syhunt Codeで「Delphi」(Android/iOSアプリ、従来のDelphi、Delphi XE、Lazarus、DWを含む)、および「Object Pascal」のサポートを追加しました。25種類の脆弱性をカバーし256以上のチェック項目が含まれています。
- サイト環境設定に、認証ブルートフォース(Brute Force)攻撃を無効にするオプションを追加しました。
- Syhunt Dynamicで、スキャン開始前の初回アクセス時にエラーが発生した際、プログラムはエラーを正しく処理できるよう改善しました。
- 自動ログイン時、プログラムがPythonを正しく検出しより明確になるようエラーメッセージを改善しました。これによってスキャンが中断されることなく、修正されるまでスキャンが継続されるようになりました。
- 最大スキャン時間の設定で24時間を超えて設定する際(48hや72hなど)は最大時間が24時間に制限されるよう修正しました。
- バージョン6.9.28.0以降、SASTにおいてIgnore ID※3のv1ハッシュが変更されていましたが、元のv1ハッシュへ戻しました。(新しいIgnore IDはレポートでv2形式を使用していますが、以前のv1 Ignore IDとも互換性はあります。)
- 「.ai」ドメインのスキャン時に発生していたエラーを改善しました。
- JSON※4レスポンスに関連する構造ブルートフォース※5の誤検知を修正しました。
※1 SAST for Object Pascal:Object Pascalプログラミング言語で書かれたアプリケーションの静的セキュリティテストを行うための技術。
※2 Delphi XE:Embarcadero Technologiesが開発する、Object Pascal 言語ベースとしたビジュアル開発環境のこと。
※3 Ignore ID:SASTツールで特定の脆弱性を無視するために使用される識別子のこと。
※4 JSON:JavaScript Object Notation(ジェイソン・オブジェクト・ノテーション)の略。データを表現するための軽量なフォーマットの一つ。
※5 構造ブルートフォース:Webアプリケーション脆弱性診断でアプリケーションの構造やデータモデルを推測するために行われる攻撃の一種。