提供信息安全服务「Proactive Defense」与系统开发的株式会社神户数字实验室(位于兵库县神户市中央区,代表董事社长:玉置慎一,以下简称 KDL),作为「Proactive Defense」的一项新服务,正式推出了「kintone 应用程序安全诊断服务」。 本服务针对企业开发与营运的 kintone 应用程序,调查自订 JavaScript 的原代码以及应用程序设置,将安全风险可视化。 在无代码/低代码开发及生成式 AI 应用日益普及的趋势下,我们致力于协助打造一个能安心营运「由现场主导开发的业务应用程序」的环境。 【服务提供背景】 在许多企业作为业务应用程序平台使用的「kintone」中,善用无代码/低代码开发的特性,由现场人员主导开发与改善业务应用程序的案例正不断增加。 此外,近年来,运用生成式 AI 来评估应用程序架构与设置,或编写用于客制化的 JavaScript 代码等做法日益普及。这使得企业不需依赖专业的开发技能,也能根据自身业务需求进行高度且便利的应用。 然而,随着应用程序的自由度与应用范围扩大,处理外部输入数据的方式、访问权限的设计、以及与外部服务串接时的设置等,需要确认的安全考量面向也变得更加多样化。 实际上,我们的安全团队已经确认,若 kintone 应用程序中存在跨网站脚本(XSS)漏洞,第三方将可能发动攻击,进而取得保存于应用程序内的信息。 在 Cybozu 公司所发布的「kintone 安全编码指南」中,也明确指出了在实作自订 JavaScript 时采取安全措施的重要性。 基于上述情况,在 kintone 应用程序的开发与营运中,不仅要考虑便利性,客观地确认安全风险并创建一个能安心使用的环境亦变得至关重要。 【服务概要】 本服务针对企业开发与营运的 kintone 应用程序,从原代码及设置内容的角度进行安全诊断。作为诊断方案,我们提供「SAST 诊断」与「SAST+设置诊断」两种方案。 《诊断方案》 ① SAST 诊断 针对 kintone 应用程序的自订 JavaScript 及 CSS 原代码进行静态分析。检测出 XSS 等漏洞风险,并厘清原代码层级的安全问题。 价格:300,000 日圆(不含税)起 ② SAST+设置诊断 除了 SAST 诊断外,我们还会确认 kintone 应用程序的设置内容与营运状况,综合检查是否存在安全风险。 在设置诊断中,我们将针对访问控制、外部串接、数据管理、日志等 kintone 应用程序的整体设置与营运,从安全角度检查有无风险。 价格:500,000 日圆(不含税)起 【服务特色】 1.专注于自订 JavaScript 的诊断 针对 kintone 应用程序客制化所使用的 JavaScript 与 CSS,在原代码层级验证单靠人工审查容易遗漏的 XSS 等漏洞风险。 2.从原代码与设置双管齐下进行诊断(SAST+设置诊断) 除了通过自订 JavaScript 静态分析进行漏洞诊断外,还会确认访问控制、API 使用、外部串接等设置内容,综合检查 kintone 应用程序的安全状态。 3.易于理解的报告与售后跟进