IDE内SASTが無料に：開発が実際に行われる場所にSASTを移動

概要

AIKIDOがIDE内でのSAST（Static Application Security Testing）スキャンを完全無料で提供開始しました。これにより、開発者はコードを書いているその瞬間にセキュリティ問題を発見し、修正できるようになります。

なぜIDE内SASTなのか

従来のSASTの問題点

従来のSASTは以下のような問題を抱えていました：

1. フィードバックの遅延: CI/CDパイプラインでスキャンするため、問題の発見が遅れる
2. コンテキストの喪失: コードを書いてから時間が経つと、修正が困難に
3. 開発者体験の悪化: 別のダッシュボードで問題を確認する必要がある
4. 修正コストの増大: 発見が遅いほど修正コストが高くなる

シフトレフトの本当の意味

「シフトレフト」とは、セキュリティをソフトウェア開発ライフサイクルの早い段階に移動することです。IDE内SASTは、その究極の形です：

サポート環境

IDE

• VS Code: 最も人気のあるエディタに完全対応
• JetBrains IDE: IntelliJ IDEA、PyCharm、WebStorm、GoLand、PHPStorm
• Neovim: LSP対応によるサポート

プログラミング言語

• JavaScript/TypeScript
• Python
• Java
• Go
• Ruby
• PHP
• C#
• Kotlin
• Swift

検出可能な脆弱性

OWASP Top 10対応

1. インジェクション攻撃

   • SQLインジェクション
   • コマンドインジェクション
   • LDAPインジェクション
   • XPathインジェクション

2. クロスサイトスクリプティング（XSS）

   • 反射型XSS
   • 格納型XSS
   • DOM-based XSS

3. 認証・認可の問題

   • ハードコードされた認証情報
   • 弱いパスワードポリシー
   • 不適切なセッション管理

4. その他

   • パストラバーサル
   • 安全でないデシリアライゼーション
   • XXE（XML External Entity）
   • SSRF（Server-Side Request Forgery）

検出例

// 危険なコード - SQLインジェクション
const query = "SELECT * FROM users WHERE id = " + userId;
//                                                ^^^^^^
// AIKIDO: SQL Injection vulnerability detected
// Fix: Use parameterized queries instead

始め方

3ステップで開始

1. 拡張機能のインストール

   • VS Code: 拡張機能マーケットプレイスで「AIKIDO」を検索
   • JetBrains: プラグインマーケットプレイスからインストール

2. アカウント作成

   • 無料アカウントを作成（クレジットカード不要）
   • GitHubまたはGoogleアカウントでサインイン

3. コーディング開始

   • 自動的にスキャンが開始
   • 問題が見つかるとリアルタイムで表示

設定オプション

• スキャンの自動/手動切り替え
• 重要度フィルター（Critical、High、Medium、Low）
• 特定のルールの無効化
• 除外パスの設定

無料の理由

AIKIDOは、すべての開発者がセキュアなコードを書けるようになるべきだと考えています。IDE内SASTを無料にすることで：

1. セキュリティの民主化
2. 開発者のスキルアップ支援
3. エコシステム全体のセキュリティ向上
4. より安全なオープンソースソフトウェア

有料プランでは、チーム管理、高度なレポート、CI/CD統合などの機能が利用できます。