脆弱なStrutsをSpringに変換する自動移行ツールを使ったサービスの提供開始! 〜ソースコードベースの移植で工期削減、要件定義も不要〜
[17/04/13]
提供元:DreamNews
提供元:DreamNews
株式会社スタイルズ(本社:東京都千代田区、代表取締役社長:梶原 稔尚 以下、スタイルズ)は、
2017年4月13日(木)、脆弱なStrutsからSpring MVCへ変換を行う自動移行サービスを正式に提供開始いたしました。
スタイルズの2016年度実績では、Webアプリケーションを新規で開発した場合と比べると、本移行サービスをご利用いただいた発注者の開発にかかる工数を、約9割削減することを実現しています。
◆スタイルズ開発のStruts自動移行サービス概要 〜 StrutsをSpring MVCへ 〜
スタイルズ開発のStruts自動移行ツールはJavaコードを解析し、Struts仕様のタグをSpring/JSTL(Java Server Pages Standard Tag Library)のタグに自動変換を行います。仕様に踏み込まず、ソースコードベースの自動変換を行うため、一般的なコード部分については要件定義をする必要がなくなります。
さらに、自動変換を行った後は、スタイルズのエンジニアが自動移行の対象外のソースコードを解析、手作業による移行・画面疎通テストを実施いたします。
これにより、発注者の機械的な作業はなくなり、大幅な開発工数・納期・コストの削減に貢献いたします。
サービスページ:https://www.stylez.co.jp/java-renew/
◆『深刻化するStruts脆弱性にどう対処するか?』セミナー概要
開催日時:2017年4月24日(月) 15時30分〜18時00分(受付開始15時00分)
会 場 :御茶ノ水ソラシティカンファレンスセンター TerraceRoom(最寄駅:JR「御茶ノ水」駅)
申 込 :https://www.stylez.co.jp/20170424_seminar/
入場料 :無料(事前登録制)
定 員 :70名
主 催 :株式会社スタイルズ
内 容 :StrutsによるWebシステムの脆弱性の仕組みや実例をわかりやすく解説し、取り組むべき具体的な課題解決の手段や対処方法、スタイルズが実際に行ったStrutsの移行事例をお伝えいたします。
セミナーに関するお問い合わせ:seminar@stylez.co.jp
◆株式会社スタイルズについて
スタイルズは平成15年の設立以来、企業が円滑な事業を行うのに必要なITインフラの構築や、システム開発・保守、モバイルアプリやソフトウェアの開発などを手掛けてきたSI会社です。
APNテクノロジーパートナーをはじめ各種クラウドのパートナーとして、オープンソース配布、運用支援、構築、開発サービスを提供しています。詳細はhttps://www.stylez.co.jp/をご参照ください。
株式会社スタイルズ 担当:棚田
Tel:03-5244-4112 / e-mail:web-contact@stylez.co.jp
参考資料
◆Strutsの脆弱性の歴史と急務の課題
10年以上前、Webシステム開発のデファクト・スタンダードは、Struts1でした。2013年4月にEOL(サポート切れ)を迎えましたが、多くのシステムがそのまま利用され続けているのが現状です。サポート切れ後には、大きな話題となった「ClassLoader を操作可能な脆弱性」等、多くのセキュリティ上の弱点が指摘されてきました。
その後、開発されるWebシステムにおいては、後継としてのStruts2、SpringMVC、JavaEE等のフレームワークが利用されてきましたが、Struts2は、2014年以降、何度も脆弱性の問題が発見され、2017年に入っては、「任意のコードを実行できる脆弱性(S2-045、CVE-2017-5638)」が見つかり、クレジットカード情報や個人情報の流出など、非常に深刻な被害が発生しています。
Struts系フレームワークは、過去に多くの脆弱性の指摘を受けている歴史からいって、今後も問題が発生する可能性が大きいことも指摘されており、以下の理由から被害が甚大化する可能性もあります。
・過去に多くのRCEを提供してきた実績があり、完全に攻撃者が目を付ける侵入経路となっている
・(WordPress等と比較して)大型で重要なWebシステムで使われているケースが多い
・日本国内においてはやや慎重なベンダーがシステムを運用しているケースが多く、バージョンアップが素早く行われない
そのため、Struts系フレームワークを採用している企業にとっては、可能な限り迅速に、根本的な対策を行なうことが急務と言えます。
2017年4月13日(木)、脆弱なStrutsからSpring MVCへ変換を行う自動移行サービスを正式に提供開始いたしました。
スタイルズの2016年度実績では、Webアプリケーションを新規で開発した場合と比べると、本移行サービスをご利用いただいた発注者の開発にかかる工数を、約9割削減することを実現しています。
◆スタイルズ開発のStruts自動移行サービス概要 〜 StrutsをSpring MVCへ 〜
スタイルズ開発のStruts自動移行ツールはJavaコードを解析し、Struts仕様のタグをSpring/JSTL(Java Server Pages Standard Tag Library)のタグに自動変換を行います。仕様に踏み込まず、ソースコードベースの自動変換を行うため、一般的なコード部分については要件定義をする必要がなくなります。
さらに、自動変換を行った後は、スタイルズのエンジニアが自動移行の対象外のソースコードを解析、手作業による移行・画面疎通テストを実施いたします。
これにより、発注者の機械的な作業はなくなり、大幅な開発工数・納期・コストの削減に貢献いたします。
サービスページ:https://www.stylez.co.jp/java-renew/
◆『深刻化するStruts脆弱性にどう対処するか?』セミナー概要
開催日時:2017年4月24日(月) 15時30分〜18時00分(受付開始15時00分)
会 場 :御茶ノ水ソラシティカンファレンスセンター TerraceRoom(最寄駅:JR「御茶ノ水」駅)
申 込 :https://www.stylez.co.jp/20170424_seminar/
入場料 :無料(事前登録制)
定 員 :70名
主 催 :株式会社スタイルズ
内 容 :StrutsによるWebシステムの脆弱性の仕組みや実例をわかりやすく解説し、取り組むべき具体的な課題解決の手段や対処方法、スタイルズが実際に行ったStrutsの移行事例をお伝えいたします。
セミナーに関するお問い合わせ:seminar@stylez.co.jp
◆株式会社スタイルズについて
スタイルズは平成15年の設立以来、企業が円滑な事業を行うのに必要なITインフラの構築や、システム開発・保守、モバイルアプリやソフトウェアの開発などを手掛けてきたSI会社です。
APNテクノロジーパートナーをはじめ各種クラウドのパートナーとして、オープンソース配布、運用支援、構築、開発サービスを提供しています。詳細はhttps://www.stylez.co.jp/をご参照ください。
株式会社スタイルズ 担当:棚田
Tel:03-5244-4112 / e-mail:web-contact@stylez.co.jp
参考資料
◆Strutsの脆弱性の歴史と急務の課題
10年以上前、Webシステム開発のデファクト・スタンダードは、Struts1でした。2013年4月にEOL(サポート切れ)を迎えましたが、多くのシステムがそのまま利用され続けているのが現状です。サポート切れ後には、大きな話題となった「ClassLoader を操作可能な脆弱性」等、多くのセキュリティ上の弱点が指摘されてきました。
その後、開発されるWebシステムにおいては、後継としてのStruts2、SpringMVC、JavaEE等のフレームワークが利用されてきましたが、Struts2は、2014年以降、何度も脆弱性の問題が発見され、2017年に入っては、「任意のコードを実行できる脆弱性(S2-045、CVE-2017-5638)」が見つかり、クレジットカード情報や個人情報の流出など、非常に深刻な被害が発生しています。
Struts系フレームワークは、過去に多くの脆弱性の指摘を受けている歴史からいって、今後も問題が発生する可能性が大きいことも指摘されており、以下の理由から被害が甚大化する可能性もあります。
・過去に多くのRCEを提供してきた実績があり、完全に攻撃者が目を付ける侵入経路となっている
・(WordPress等と比較して)大型で重要なWebシステムで使われているケースが多い
・日本国内においてはやや慎重なベンダーがシステムを運用しているケースが多く、バージョンアップが素早く行われない
そのため、Struts系フレームワークを採用している企業にとっては、可能な限り迅速に、根本的な対策を行なうことが急務と言えます。