Delphiの脆弱性対策に使えるSASTツールとは?DerScannerで実現するセキュアコーディング
対応ツールが少ない!Delphiの脆弱性対策について
Delphi(デルファイ)言語で開発を行っている方の中には、脆弱性対策ツールを十分に活用できていないと感じている方も多いのではないでしょうか。
脆弱性対策のためのツール自体は数多く存在しますが、Delphiに対応し、実際の開発現場で実用的に使えるものとなると、選択肢は決して多くありません。
その結果、Delphiの開発現場では、脆弱性対策ツールに関して次のような課題や不安を抱えているケースが少なくないのが実情です。
- スキャンしても脆弱性が検出されない
- 実用的に対応するツールがない
- フリーツールを使っているけど、検出精度に不安がある
Delphiをお使いの方に、ぜひ知っていただきたいツールがあります。それが「DerScanner」です。
DerScannerとは?
DerScannerは、コードベースの静的解析(SAST)を中心に、動的アプリケーション解析(DAST)、ソフトウェア構成解析(SCA)、サプライチェーン解析(SCS)などを組み合わせて包括的に対応できる脆弱性対策ツールです。主に、CWE、OWASPの脆弱性分類に対応し、PCI DSS、HIPAAといったコンプライアンス基準への対応を支援します。SASTスキャンはJava、Python、PHPなど43言語(2025年11月現在)に対応しており、Delphiもその対応言語の一つです。一般的なSASTスキャンツールはDelphiに対応していないケースが多いですが、DerScannerなら言語ごとにツールを使い分ける必要がありません。
DerScanner × Delphiでできること(その1.脆弱性解析)
Delphiで開発された拡張子(.dpr、.pas、.dpk、.pp)のファイルを解析することが可能です。ファイルを一つ一つアップロードするのではなく、プロジェクト全体のファイルを.zip形式などのアーカイブファイルにまとめて、スキャンを実行します。
そして、スキャンしたパッケージの信頼性や検知した脆弱性に関する情報を詳細に表示することが可能です。
※以下の図の右側のスコアは、DerScanner独自のプロジェクトに対するスコアリング評価です(CVSSなどのスコアではありません)
下記画面は、安全ではない暗号化アルゴリズムの使用(CWE-326)について指摘しています。
一般的な修正方法の提案も可能ですが、オプションでAI修正提案機能を追加することも可能です。
DerScanner × Delphiでできること(その2.コード品質解析)
脆弱性解析では、CWEやOWASPなどで分類されているハードコードパスワードやパストラバーサルといった、攻撃として悪用される可能性を洗い出しますが、コーディング規則といった「お作法」についての解析には対応していません。その部分を網羅するのがコード品質解析です。DerScannerは、独自に収集・作成したコーディングガイドルールに沿ってスキャンします。ルールだけでなく、コードの複雑性に関する解析も可能です。
ここでは、エラーハンドリングについて指摘しています。Exceptionといった一般的なものにせず、EDivByZero(ゼロ除算)といった例外クラスを活用しましょうといった推奨を提示しています。
※2025年11月現在、コード品質解析はJavaScript、TypeScript、Delphi、Pascalの4言語に対応しています。
Delphiをお使いの方、DerScannerで脆弱性対策×コード品質改善を始めませんか?
DelphiはJavaやPython、PHPといった言語と比べると利用領域は限定的ですが、脆弱性が発生しないと言い切ることはできません。脆弱性のみならず、コーディングルールといったお作法にも目を向け、包括的なセキュアコーディングを実現するために、ぜひDerScannerの活用をご検討ください。
東陽テクニカでは、包括的なセキュリティ対策を支援するソリューションを提供しており、販売から導入後の運用支援まで一貫してサポートいたします。お気軽にご相談ください。