Microsoftの「Edge」ブラウザ開発チームは米国時間10月25日、ウェブサイトをスキャンして潜在的な問題をレポートする、オープンソースの「リント」ツール(コードの静的解析ツール)「Sonar」を発表した。このツールは、ウェブ開発者によるサイトのセキュリティ強化や、進歩するウェブ標準への追随を支援するものだ。
提供:Sonarwhal.com
Microsoftによると、Sonarは静的スキャンを行う既存のツール群と比べて、ウェブサイトコードを実行するといった点で利便性が向上しているという。そしてSonarには、QualysのSSL認証コンフィグレーションテストサービス「SSL Server Test」や、ウェブサイトのアクセシビリティをチェックする「aXe」、Googleが立ち上げた「Accelerated Mobile Pages」(AMP)プロジェクト、脆弱性を抱えたJavaScriptライブラリを検出するSonarのスキャン機能を実現する「Snyk.io」などのツールも統合されている。
Sonarは現時点で、サイトのアクセシビリティと、さまざまなブラウザ間での相互運用性、ページの高速なロードという観点でのパフォーマンス、プログレッシブウェブアプリ(PWA)、セキュリティという5つの重要なカテゴリをサポートしている。
Microsoftは6月、「このプロジェクトがコミュニティーの最善の利益を念頭に置いたものだという点に投げかけられるあらゆる疑念を拭い去る」ために、SonarをJS Foundationに寄贈していた。
このプロジェクトの源流をたどると、さまざまなバージョンの「Internet Explorer」(IE)をサポートする必要によって引き起こされる、ウェブページ上のコーディング関連の問題をフィックスするために同社がリリースしたスキャンツールに行き着く。
Sonarは当初、コマンドラインツールであったものの、現在では「Nellie the narwhal」(イッカクのネリー)をマスコットキャラに据え、「Microsoft Azure」上でホストされたオンライン版のサイトスキャナーも利用できる。このため、開発者は簡単にウェブページの健全さをチェックできる。
Snykによると、Sonarはデフォルト動作において、既知の脆弱性を抱えているJavaScriptライブラリの存在有無をチェックするという。Sonarは使用されているライブラリとバージョンをスキャンした後、Snykによるクライアントサイドの脆弱性チェックを実施し、脆弱性の対処につながる情報を保持したSnykへのリンクを含んだレポートの生成を行う。なおSnykは開発者に対して、サーバサイドのコードに対しても同様の脆弱性チェックを実施する必要があると伝えている。
ノースイースタン大学の研究チームによる調査で、13万3000以上のウェブサイトを分析した結果、37%に既知の脆弱性を含むJavaScriptライブラリが少なくとも1つあることが分かったと報告されていたが、Snykが上位5000のURLを独自に調査した結果、76.6%のページで少なくとも1つ以上の脆弱性を抱えたJavaScriptライブラリが使われていたという。
Sonarには今後、「Visual Studio Code」向けのプラグインや、スキャン時のルール設定をカスタマイズする機能、パフォーマンスやアクセシビリティ、セキュリティ、PWAの評価に関するさらなるルールが追加される予定だ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
