SCA Everywhere：IDE内でオープンソース依存関係をスキャン＆修正

概要

AIKIDOのIDE拡張機能にSCA（Software Composition Analysis）機能が追加されました。これにより、開発者はコーディング中に依存関係の脆弱性をリアルタイムで検出し、ワンクリックで修正できるようになります。

機能の特徴

リアルタイム脆弱性検出

依存関係ファイルを開くと、脆弱なパッケージが即座にハイライトされます：

サポートファイル:

• package.json / package-lock.json（npm/yarn/pnpm）
• pom.xml（Maven）
• build.gradle（Gradle）
• requirements.txt / Pipfile（Python）
• go.mod（Go）
• Gemfile（Ruby）
• composer.json（PHP）

詳細な脆弱性情報

ホバーすると以下の情報が表示されます：

• CVE ID: 脆弱性の識別子
• CVSSスコア: 重要度（0.0〜10.0）
• 影響: 機密性、完全性、可用性への影響
• 修正バージョン: アップグレードすべきバージョン
• 説明: 脆弱性の詳細な説明
• 参考リンク: NVD、GitHub Advisory等へのリンク

ワンクリック修正

脆弱性が検出されると、以下のアクションが可能です：

1. Quick Fix: 修正バージョンに自動アップグレード
2. View Details: 詳細情報の表示
3. Ignore: 誤検知の場合は無視
4. Open in Dashboard: AIKIDOダッシュボードで詳細確認

サポート言語とパッケージマネージャー

JavaScript/TypeScript

Python

Java

その他

• Go (go mod)
• Ruby (Bundler)
• PHP (Composer)
• Rust (Cargo) - Coming Soon
• .NET (NuGet) - Coming Soon

使用方法

セットアップ

1. 拡張機能のインストール

   • VS Code Marketplace から「AIKIDO Security」をインストール
   • JetBrains Marketplace からプラグインをインストール

2. 認証

   • AIKIDOアカウントでログイン
   • 無料プランでも利用可能

3. プロジェクトを開く

   • 依存関係ファイルを含むプロジェクトを開く
   • 自動的にスキャンが開始

日常的なワークフロー

[package.jsonを編集]
        |
        v
[AIKIDOが自動スキャン]
        |
        v
[脆弱性がハイライト]
        |
        v
[ホバーで詳細確認]
        |
        v
[Quick Fixで修正] or [Ignoreで除外]
        |
        v
[コミット & プッシュ]

SAST + SCA の統合

なぜ両方必要か

現代のアプリケーションは、自分で書いたコード（10〜20%）とオープンソースの依存関係（80〜90%）で構成されています。

• SAST: 自分で書いたコードの脆弱性を検出
• SCA: 依存関係の脆弱性を検出

両方をカバーすることで、アプリケーション全体のセキュリティを確保できます。

AIKIDOの統合アプローチ

1. 単一の拡張機能でSAST + SCA
2. 統一されたUI/UX
3. 一貫した重要度評価
4. チーム全体で共有可能な設定

ベストプラクティス

依存関係管理

1. lockfileの使用: バージョンを固定
2. 定期的な更新: 少なくとも月1回
3. 自動化: Dependabotなどとの併用
4. 監査: npm audit、pip-auditの定期実行

セキュリティポリシー

1. Critical脆弱性は24時間以内に対応
2. High脆弱性は1週間以内に対応
3. Medium/Lowは次のスプリントで対応
4. 例外は文書化して承認を得る