エンタープライズ・システムのセキュリティ部門のソフトウェア・インテグリティ強化を支援する最新バージョン
2019年1月15日 カリフォルニア州マウンテンビュー発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、セキュアなアプリケーション・ソフトウェアをより短期間で開発可能にする静的アプリケーション・セキュリティ・テスト(SAST)ソリューション Coverity®の最新バージョンを発表した。最新バージョンでは、エンタープライズ・アプリケーションのセキュリティ・テストにとって重要性が増している3つのニーズに対応している。テスト可能な対象の拡張、幅広い開発言語とフレームワークのサポート、包括的な脆弱性解析機能である。
シノプシス ソフトウェア・インテグリティ・グループ 共同ジェネラル・マネージャー Andreas Kuehlmannは、次のように述べている。「企業/団体は、ビジネス上の重要な機能を組み込んで高い付加価値を顧客に提供するために、ソフトウェア依存を強めアプリケーション・ポートフォリオを拡充しつつある一方で、アプリケーション・ソフトウェアに潜む脆弱性は依然としてサイバーアタックの最も一般的な進入経路となっています。エンタープライズ・アプリケーションのセキュリティ担当者は、大規模化と多様化を続けるアプリケーション・ポートフォリオ全般にわたって、その脆弱性の有無を調査しなければならないのです。その一方で、それによって開発期間が長引いたり、ビジネス展開スピードに支障をきたす事態は許されません。Coverity最新バージョンをご活用いただくことにより、セキュリティ担当の皆様は、当社が世界をリードする静的解析テクノロジを、より広範囲にわたるアプリケーションに適用できるようになるだけでなく、より容易に活用できるようになります」
エンタープライズ・セキュリティ・チームのための拡張性の高いSASTソリューション
Coverityを用いることにより、エンタープライズ・システムの開発企業/団体は、幅広いアプリケーション・ポートフォリオ全般にわたってSAST適用を拡大できるようになる。今回の最新バージョンにはビルドすることなく解析可能にする機能が組み込まれているため、セキュリティ担当者は数千にも上るアプリケーションに迅速かつ容易に適用して解析を実行できる。全てのコードを統合後に初めてテストするのではなく、ソースコード・プロジェクト単位でシンプルに適用し、解析作業を即座に開始できる。他のSASTソリューションとは異なり、Coverityは、プロジェクトの構成を自動的に調査して理解し、通常はビルド工程に入ってから行われるソースコード依存関係の抽出を実行する。この新機能を活用することにより、包括的な解析が実行でき、手作業による依存関係の把握を回避できるようになる。
幅広いプログラミング言語とフレームワークのサポート
エンタープライズ・アプリケーションの開発に用いられるプログラミング言語やフレームワークは多様化しており、SASTツールは、効率的な解析を実施するため、それぞれの内容を理解できる必要がある。多様なアプリケーション・ポートフォリオを抱えるエンタープライズ・システム開発企業/団体のこうしたニーズに応えるため、シノプシスはCoverityの言語ならびにフレームワークのサポートを大幅に拡張した。最新バージョンでは、TypeScript、.NET Core、Swift 4.1、およびRailsセキュリティ(Brakeman Pro)上のRubyをサポートしており、Angular、Vue、React、を含む50以上のJava、JavaScript、およびC#フレームワークのサポートも開始している。
包括的な脆弱性解析
Coverityの解析エンジンには、最も悪用され易い、あるいは危険性の高い脆弱性の存在を様々な角度から解析して発見するために多岐にわたる解析技術が搭載されている。各種フレームワークの普及に対応して、最新バージョンでは、フレームワーク解析機能が大幅に強化されており、クライアント・サイドとバックエンドWebサービスの脆弱性を、これまで以上に正確に特定できるようになった。また、クライアント・サイドの一般的なバインディング手法であるJavaScriptフレームワーク・テンプレートの解析も可能となっている。そうしたテンプレートから直接生成されるHTMLもスキャンできるため、クロスサイト・スクリプティング(XXS)の脆弱性の特定もできる。
静的解析ソリューション Coverityの詳細は下記より入手可能
https://www.synopsys.com/ja-jp/software-integrity/security-testing/static-analysis-sast.html
シノプシス・ソフトウェア・インテグリティ・プラットフォームについて
シノプシスは、ソフトウェア・インテグリティ・プラットフォームを通じて、ソフトウェアのクオリティとセキュリティを向上させ、それらに関するリスクを開発期間の長期化や開発効率の低下を引き起こすことなく最小化するための最先端のソリューションを提供している。シノプシスはアプリケーション・セキュリティ・テストのリーディング・カンパニーとして高い評価を受けており、スタティック解析、ソフトウェア・コンポジション解析、ダイナミック解析のソリューションを提供している。これにより、ソフトウェア開発企業/団体が独自開発しているコード、用いているオープンソース・ソフトウェア、アプリケーション動作の中に潜む脆弱性や欠陥を短時間で特定/修正することが可能となる。業界をリードするツールならびにサービス、専門技術の組み合わせにより、ソフトウェア開発企業/団体がDevSecOps(開発とセキュリティ確保と運用の連携)プロセスやソフトウェア開発ライフサイクルを通じて最大限のセキュリティとクオリティを達成できるよう支援している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。
詳細情報は、https://www.synopsys.com/ja-jpより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 フィールド・マーケティング・グループ 藤井 浩充
TEL: 03-6746-3940 FAX: 03-6746-3941
2024/5/6 - シノプシス、ソフトウェア・インテグリティ・グループ事業のClearlake Capital社とFrancisco Partners社への売却で正式契約を締結
2024/4/24 - シノプシス、TSMC社の最先端プロセスを活用した次世代チップ・イノベーションを加速
2024/4/17 - シノプシス、包括的なソフトウェア・サプライチェーン・セキュリティ対策のための新ツールBlack Duck Supply Chain Editionを提供開始
2024/4/17 - シノプシス、オープンソース・セキュリティ&リスク分析レポートを発表 コードベースの74%に高リスクのオープンソース脆弱性、前年から54%増加