「Not friends, just coexisting」

ノートンが誰かを裏切るの、早く見たいねw

🧲🖊️🐝📰

#第五人格  #IdentityV  #coy https://t.co/QNWxFTstZO December 12, 2025

Final testing. Some new items, and the different construction stages from foxholes to trenches.
#pixelart #indiedev #indiegames #インディーゲーム #gamedev https://t.co/tzczYxf7QX December 12, 2025

◉設計レビュー（Design review）

アプリケーションが生まれる “設計段階” を見てくれるのがスゴイ。
•設計ドキュメントや仕様書をアップロードするか、S3等から読ませて解析。
•組織で定めた「セキュリティ要件（たとえば、ネットワーク分割があるか／顧客管理の暗号鍵が自分で管理されているか、など）」を設定しておく。
•アップロードされた設計をそのセキュリティ要件と照らし合わせ、「準拠」「非準拠」「データ不足」などの判断付きで報告。
→ つまり「コード書く前に、設計段階で『この設計じゃ危ないかも』って教えてくれる」ってこと！

◉コードレビュー（Code review）

次に、実際に開発される「コード」の段階でも守ってくれる。
•GitHub リポジトリと連携して、プルリクエスト（PR）内のコードに対してレビューを実行。
•定番の脆弱性（例：SQLインジェクション、クロスサイトスクリプティング、入力検証不足）も検知。
•さらに、組織で定めたセキュリティポリシー（「監査ログは90日保持」など）にコードが適合しているかもチェック。たとえば「365日保持してるじゃん！」といったポリシー違反も指摘。
→ つまり「コード書いてる途中から“組織ルール”から外れてない？”って教えてくれる」ってこと！

◉ オンデマンド・ペネトレーションテスト（Penetration testing）

そして、設計・コードが終わったあと、あるいは並行して「攻撃者目線」のテストもできる。これがまたヤバイ。
•アプリケーションの “攻撃面(Attack surface)” を自動で探索。エンドポイント列挙、認証／認可チェック、注入攻撃など13のリスクカテゴリに渡ってテスト。
•ソースコード、API仕様、ビジネス文書など「文脈情報」があれば、より深く、よりカスタマイズされた攻撃計画を自動生成。
•テスト中に “発見→対応” のサイクルが自動で回っていき、動的に「このエンドポイントではこう攻撃できる！」って分析して次の手を展開。
→ つまり「人手でお願いして数週間かかるペンテストを、数時間で・もっと深く・継続的にできる」ってこと！

◉ 全体像として

これら３つのフェーズを通して、「設計段階からデプロイ後まで」アプリを “ライフサイクルまるごとチェック” できるツールというわけ。
しかも「アプリの文脈（設計・コード・仕様）を理解した上で安全性を評価」っていうのが、従来のツールと大きく違う December 12, 2025