マイクロソフト、オープンソースのウェブスキャンツール「Sonar」発表

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部 2017年10月27日 11時04分

  • このエントリーをはてなブックマークに追加

 Microsoftの「Edge」ブラウザ開発チームは米国時間10月25日、ウェブサイトをスキャンして潜在的な問題をレポートする、オープンソースの「リント」ツール(コードの静的解析ツール)「Sonar」を発表した。このツールは、ウェブ開発者によるサイトのセキュリティ強化や、進歩するウェブ標準への追随を支援するものだ。

Sonar
提供:Sonarwhal.com

 Microsoftによると、Sonarは静的スキャンを行う既存のツール群と比べて、ウェブサイトコードを実行するといった点で利便性が向上しているという。そしてSonarには、QualysのSSL認証コンフィグレーションテストサービス「SSL Server Test」や、ウェブサイトのアクセシビリティをチェックする「aXe」、Googleが立ち上げた「Accelerated Mobile Pages」(AMP)プロジェクト、脆弱性を抱えたJavaScriptライブラリを検出するSonarのスキャン機能を実現する「Snyk.io」などのツールも統合されている。

 Sonarは現時点で、サイトのアクセシビリティと、さまざまなブラウザ間での相互運用性、ページの高速なロードという観点でのパフォーマンス、プログレッシブウェブアプリ(PWA)、セキュリティという5つの重要なカテゴリをサポートしている。

 Microsoftは6月、「このプロジェクトがコミュニティーの最善の利益を念頭に置いたものだという点に投げかけられるあらゆる疑念を拭い去る」ために、SonarをJS Foundationに寄贈していた。

 このプロジェクトの源流をたどると、さまざまなバージョンの「Internet Explorer」(IE)をサポートする必要によって引き起こされる、ウェブページ上のコーディング関連の問題をフィックスするために同社がリリースしたスキャンツールに行き着く。

 Sonarは当初、コマンドラインツールであったものの、現在では「Nellie the narwhal」(イッカクのネリー)をマスコットキャラに据え、「Microsoft Azure」上でホストされたオンライン版のサイトスキャナーも利用できる。このため、開発者は簡単にウェブページの健全さをチェックできる。

 Snykによると、Sonarはデフォルト動作において、既知の脆弱性を抱えているJavaScriptライブラリの存在有無をチェックするという。Sonarは使用されているライブラリとバージョンをスキャンした後、Snykによるクライアントサイドの脆弱性チェックを実施し、脆弱性の対処につながる情報を保持したSnykへのリンクを含んだレポートの生成を行う。なおSnykは開発者に対して、サーバサイドのコードに対しても同様の脆弱性チェックを実施する必要があると伝えている。

 ノースイースタン大学の研究チームによる調査で、13万3000以上のウェブサイトを分析した結果、37%に既知の脆弱性を含むJavaScriptライブラリが少なくとも1つあることが分かったと報告されていたが、Snykが上位5000のURLを独自に調査した結果、76.6%のページで少なくとも1つ以上の脆弱性を抱えたJavaScriptライブラリが使われていたという。

 Sonarには今後、「Visual Studio Code」向けのプラグインや、スキャン時のルール設定をカスタマイズする機能、パフォーマンスやアクセシビリティ、セキュリティ、PWAの評価に関するさらなるルールが追加される予定だ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

SpecialPR

連載

CIO
トランザクションの今昔物語
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
展望2017
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算