Corgea：コードの脆弱性を自動的に修正するAIセキュリティ・プラットフォーム

はじめに

CorgeaはAIベースのコードセキュリティプラットフォームで、開発者とセキュリティチームがコードの脆弱性を発見、分析、自動修正することを支援することに重点を置いている。SnykやSemgrepなどの既存の静的アプリケーション・セキュリティ・テスト（SAST）ツールと統合することで、コードの潜在的な問題をスキャンし、AIを使用して、開発者がレビューするための高品質な修正プログラムを生成します。Corgeaは、Java、Python、Goなどの幅広いプログラミング言語をサポートし、ビジネスロジックのエラーや認証の脆弱性などの複雑な問題をカバーします。誤検知を約30%削減し、修正コストと時間を大幅に削減し、開発工数を平均80%削減します。このプラットフォームは操作が簡単で、GitHubアプリを介して迅速に統合できるため、効率的で安全な開発を追求するチームに適している。

機能一覧

• 脆弱性スキャンビジネスロジックのエラー、認証の脆弱性、APIセキュリティの問題、コード内のハードコードされたキーを検出します。
• AIオートリペア発見された脆弱性に対する高品質な修正プログラムを作成し、開発者がレビューできるようにPull Requestを作成する。
• 誤報フィルタリングAI分析により約30%の誤検知を自動的に削減し、セキュリティチームの効率を高めます。
• 多言語サポートJava、JavaScript、TypeScript、Go、Ruby、Python、C#、C、C++、PHP、その他の言語とそのフレームワークをサポートします。
• SASTツールとの統合Snyk、Semgrepなどのツールとシームレスに接続し、既存のワークフローを強化します。
• SLAトラッキングセキュリティ問題が期限内に解決されるよう、脆弱性修正の進捗状況の追跡と通知を行う。
• 戦略実行ブロック・ルール：アプリケーションの安全性を確保するために、コンプライアンスに準拠していないコードの公開をブロックします。

ヘルプの使用

インストールと統合

Corgeaは、インストールが簡単で30秒もかからないGitHubアプリを提供している。詳しい手順は以下の通り：

1. 公式ウェブサイトを見るオープン https://corgea.com/アカウントを登録するには、"Sign up today for free "をクリックしてください。
2. GitHubアプリのインストール::
   • GitHubにログインして https://github.com/apps/corgea.
   • インストール」ボタンをクリックし、認証したい組織またはリポジトリを選択します。
   • パーミッションを確認すると、Corgeaにはコードを読んだり、プルリクエストを作成したりする権限が与えられる。
3. コンフィギュレーションリポジトリ::
   • Corgea ダッシュボードで、スキャンする GitHub リポジトリを選択します。
   • スキャン頻度を設定する（例：提出ごと、毎日）。
4. SASTツールの接続(オプション）：
   • Corgeaの設定ページで、SnykまたはSemgrepのAPIキーを追加します。
   • Corgeaは、これらのツールからスキャン結果を自動的にインポートし、修理推奨事項を生成します。

インストールされると、Corgeaは自動的にコードをスキャンし、GitHubリポジトリに修正プルリクエストを作成する。

主な機能

1.脆弱性スキャン

CorgeaのBLAST (Business Logic and Security Testing)テクノロジーは、AIと静的解析を組み合わせ、複雑な脆弱性のためにコードをスキャンします。ユーザーは手動でルールを設定する必要がなく、Corgeaは動的にコード環境に適応します。手順

• スキャン開始Corgeaダッシュボードで対象のリポジトリを選択し、"Scan Now "をクリックします。
• 結果を見るスキャンが完了すると、ダッシュボードに脆弱性の種類（SQL インジェクション、パストラバーサルなど）、場所、深刻度を含む脆弱性のリストが表示されます。
• 輸出レポートスキャン結果をPDFまたはCSVにエクスポートし、チーム内で簡単に共有できます。

2.AIの自動修復

Corgeaの中核機能は、修理コードの生成と開発プロセスへの統合です。運用プロセス：

• 修正提案の閲覧ダッシュボードで「脆弱性の詳細」をクリックすると、AIが生成したコード修正勧告が表示されます。
• プルリクエストの作成::
  • Generate Pull Request" をクリックすると、Corgea が自動的に GitHub リポジトリにプルリクエストを作成します。
  • プルリクエストには、修正コード、脆弱性の説明、変更の説明が含まれる。
• 開発者レビュー開発者はGitHubでコードをレビューし、確認後に修正をマージする。
• 検証の修正Corgeaはコードを再スキャンし、脆弱性が解決されたことを確認する。

3.誤報フィルタリング

CorgeaはAIを使用してスキャン結果を分析し、自動的にフラグを立て、偽陽性をフィルタリングします。操作方法

• 誤報のチェック脆弱性リストでは、"False Positive "と表示された項目はAIによってフィルタリングされています。
• 手動調整Corgeaはユーザーからのフィードバックから学習し、その後のスキャンを最適化します。
• 統計分析ダッシュボードは、チームがスキャン効率を評価するのに役立つ誤警報率の統計を提供します。

4.SLAのトラッキングと戦略の実施

Corgeaは脆弱性管理ツールを提供し、是正努力が軌道に乗っていることを確認します：

• SLAの設定ダッシュボードで、脆弱性の種類に応じた修復期限を設定する（高リスクの脆弱性は 7 日間など）。
• 通知を受け取る: Corgeaは、EメールやSlackでリマインダを送信し、今後の修正期限を通知する。
• ブロックルールの設定::
  • 設定]ページで[ブロックルール]を有効にし、公開を禁止する脆弱性の種類（ハードコードされたキーなど）を指定します。
  • Corgeaは、コンプライアンスを確保するために、これらの脆弱性を含むコードマージをブロックする。

5.多言語サポートと統合

Corgeaは幅広いプログラミング言語をサポートしており、開発者はコード構造を調整することなく使用することができます。既存のSASTツールの操作との統合：

• スキャン結果のインポートSnykまたはSemgrep JSONレポートをCorgeaにアップロードする。
• ユニファイド・マネジメントCorgeaは、すべてのツールからの脆弱性レポートを集約し、統一されたビューを提供します。
• 自動修復インポートされた脆弱性については、Corgeaは修正コードを生成し、プルリクエストを作成する。

注目の機能

• ビジネスロジックの脆弱性検出CorgeaのAIはコードの文脈を理解し、従来のツールでは検出が困難なビジネス・ロジックのエラーを特定する。例えば、決済プロセスにおけるロジックギャップを検出し、潜在的な金銭的損失を防ぐことができます。
• ハードコードされたキーのスキャンCorgeaはコードをスキャンして機密情報（APIキーやパスワードなど）を探し、環境変数に移行することを提案する。
• リアルタイム・フィードバックコードをコミットするたびに、Corgeaは自動的にスキャンし、GitHubにリアルタイムでフィードバックを提供します。

ほら

• ライツ・マネジメントそうしないと、プルリクエストを作成できない可能性があります。
• ネットワーク要件Corgeaは、スキャン結果をリアルタイムで同期するために、安定したインターネット接続を必要とします。
• 無料版の制限無料バージョンは、2ウェアハウスと月10プルリクエストのスキャンをサポートしており、小規模チームが試すのに適しています。

そうすることで、ユーザーはすぐにCorgeaを使い始めることができ、コード・セキュリティの管理を自動化することができる。

アプリケーションシナリオ

1. 新興企業向けの迅速な開発
   リソースが限られた小規模な開発チームは、セキュリティ脆弱性の修正に多くの時間を割くことができないため、Corgeaはコードのスキャンと修正を自動化することで、セキュリティ作業の負荷を軽減し、チームは機能開発に集中することができます。例えば、あるフィンテックのスタートアップ企業は、Corgeaを使用して決済モジュールをスキャンし、認証の脆弱性を迅速に修正し、製品が本稼働する前にコンプライアンスを確保した。
2. 企業レベルのコードコンプライアンス
   大企業はGDPRやHIPAAなどの規制に準拠する必要があり、CorgeaのブロッキングルールとSLA追跡機能はセキュリティチームがコンプライアンス基準を実施するのに役立ちます。例えば、ある医療技術企業は、ハードコードされたキーを検出し、患者データの安全性を確保するためにCorgeaを使用しています。
3. オープンソースプロジェクトのメンテナンス
   オープンソースプロジェクトは、しばしば見落とされたセキュリティ脆弱性に直面しますが、CorgeaのGitHub統合により、メンテナは簡単にコードをスキャンして修正することができます。例えば、あるオープンソースのウェブフレームワークプロジェクトはCorgeaを使ってSQLインジェクションの脆弱性を修正し、コミュニティの信頼を高めた。

品質保証

1. Corgeaはどのようなプログラミング言語をサポートしていますか？
   Corgeaは、Java、JavaScript、TypeScript、Go、Ruby、Python、C#、C、C++、PHPとそれらのフレームワークをサポートしており、ほとんどの主流の開発シナリオをカバーしています。
2. 修理コードのセキュリティを確保するにはどうすればよいですか？
   CorgeaのAIモデルは、大量のコードとセキュリティパッチで学習され、何度も検証を受ける修正プログラムを生成します。開発者は、コードがプロジェクトの要件を満たしていることを確認するために、プルリクエストをレビューし、テストする必要があります。
3. 無料版と有料版の違いは何ですか？
   無料版では、個人または小規模チーム向けに、月に2倉庫と10プルリクエストのスキャンをサポートしています。有料版（Growthプランなど）では、大規模チーム向けに無制限のリポジトリとスキャンを提供しています。
4. Corgeaは既存のワークフローに支障をきたすことはありますか？
   CorgeaはGitHubを通じて統合されるため、開発プロセスを変更する必要がありません。セキュリティチームはワンクリックでプルリクエストを作成でき、開発者は使い慣れたGitHub環境でコードをレビューできる。