編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事まとめ:DX推進、IT人材や内製化動向

マイクロソフト、オープンソースのウェブスキャンツール「Sonar」発表

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部

2017-10-27 11:04

 Microsoftの「Edge」ブラウザ開発チームは米国時間10月25日、ウェブサイトをスキャンして潜在的な問題をレポートする、オープンソースの「リント」ツール(コードの静的解析ツール)「Sonar」を発表した。このツールは、ウェブ開発者によるサイトのセキュリティ強化や、進歩するウェブ標準への追随を支援するものだ。

Sonar
提供:Sonarwhal.com

 Microsoftによると、Sonarは静的スキャンを行う既存のツール群と比べて、ウェブサイトコードを実行するといった点で利便性が向上しているという。そしてSonarには、QualysのSSL認証コンフィグレーションテストサービス「SSL Server Test」や、ウェブサイトのアクセシビリティをチェックする「aXe」、Googleが立ち上げた「Accelerated Mobile Pages」(AMP)プロジェクト、脆弱性を抱えたJavaScriptライブラリを検出するSonarのスキャン機能を実現する「Snyk.io」などのツールも統合されている。

 Sonarは現時点で、サイトのアクセシビリティと、さまざまなブラウザ間での相互運用性、ページの高速なロードという観点でのパフォーマンス、プログレッシブウェブアプリ(PWA)、セキュリティという5つの重要なカテゴリをサポートしている。

 Microsoftは6月、「このプロジェクトがコミュニティーの最善の利益を念頭に置いたものだという点に投げかけられるあらゆる疑念を拭い去る」ために、SonarをJS Foundationに寄贈していた。

 このプロジェクトの源流をたどると、さまざまなバージョンの「Internet Explorer」(IE)をサポートする必要によって引き起こされる、ウェブページ上のコーディング関連の問題をフィックスするために同社がリリースしたスキャンツールに行き着く。

 Sonarは当初、コマンドラインツールであったものの、現在では「Nellie the narwhal」(イッカクのネリー)をマスコットキャラに据え、「Microsoft Azure」上でホストされたオンライン版のサイトスキャナーも利用できる。このため、開発者は簡単にウェブページの健全さをチェックできる。

 Snykによると、Sonarはデフォルト動作において、既知の脆弱性を抱えているJavaScriptライブラリの存在有無をチェックするという。Sonarは使用されているライブラリとバージョンをスキャンした後、Snykによるクライアントサイドの脆弱性チェックを実施し、脆弱性の対処につながる情報を保持したSnykへのリンクを含んだレポートの生成を行う。なおSnykは開発者に対して、サーバサイドのコードに対しても同様の脆弱性チェックを実施する必要があると伝えている。

 ノースイースタン大学の研究チームによる調査で、13万3000以上のウェブサイトを分析した結果、37%に既知の脆弱性を含むJavaScriptライブラリが少なくとも1つあることが分かったと報告されていたが、Snykが上位5000のURLを独自に調査した結果、76.6%のページで少なくとも1つ以上の脆弱性を抱えたJavaScriptライブラリが使われていたという。

 Sonarには今後、「Visual Studio Code」向けのプラグインや、スキャン時のルール設定をカスタマイズする機能、パフォーマンスやアクセシビリティ、セキュリティ、PWAの評価に関するさらなるルールが追加される予定だ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]