Technology Alliance Partnerプログラム参加企業のツールもシームレスに統合できるIntelligent Orchestrationにより、DevOpsパイプラインの最適な高速化/効率化を実現するセキュリティ・テスト自動化ワークフローを提供
2021年6月9日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、シノプシス・ソフトウェア・インテグリティ・グループの新ソリューション Intelligent Orchestrationを発表した。Intelligent Orchestrationは、最適な速度と効率でアプリケーション・セキュリティ自動化パイプラインを実現するソリューションである。これにより、適切なタイミングで適切なセキュリティ・テストを確実に実行することが可能となる。Intelligent Orchestrationは、革新的なテクノロジでパイプラインのビルドとリリースをパラレルに実行する。事前に定義されているリスク管理ポリシーや、アプリケーションに加えられた変更に基づいて、静的アプリケーション・セキュリティ・テスト(SAST)、動的アプリケーション・セキュリティ・テスト(DAST)、インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)、ソフトウェア・コンポジション解析(SCA)といった主要なセキュリティ・テストから適切なものを自動的に決定し起動する。
またシノプシスは、グローバル・パートナー・プログラムを拡張しTechnology Alliance Partner(TAP)プログラムも始動した。これにより、CloudBeesやGitHub Actionsといったテクノロジ・パートナー・ツールとIntelligent Orchestrationの連携も可能となった。TAPプログラムには現在40社を超すDevOpsエコシステム・ベンダが参加しており、Intelligent Orchestrationやシノプシスの各種アプリケーション・セキュリティ・ソリューションへの各社のツールの迅速な統合を実現している。Intelligent Orchestrationと一般に普及しているDevOpsツールの連携により、セキュリティ・テストをシームレスに実行可能となり、アジャイル開発のプロジェクト管理も容易になる。
ソフトウェア開発のペースや複雑化は高まる一方であり、あらゆる業界のセキュリティならびに開発チームは、その開発ツール・チェーンやワークフローの中にセキュリティ・テストを統合して自動実行できる体制が不可欠と考えている。しかしながら多くの場合、もたらされる大量のテスト結果(そのうちの多くは現時点で対処する必要がない)によって、開発パイプラインがスローダウンし、開発チームに大きな負荷がかかってくるという現実に直面する。
Intelligent Orchestrationのコンセプトやテクノロジは、デジタル・トランスフォーメーションに総力を挙げて取り組んでいるフォーチュン500の金融関係企業を始めとする顧客企業各社が、前述の課題に取り組むのを長年にわたって支援してきた経験をもとに開発/精緻化された成果である。
Intelligent Orchestrationが提供する主要な機能ならびにメリットは以下の通りである。
Intelligent Orchestrationは、本当に必要なアプリケーション・セキュリティ・テストを実施するためのパイプラインのビルドとリリースをパラレルに実行できる継続的インテグレーション(CI)ソリューションである。
ビルド/リリース・パイプラインを再構築する必要はなく、Intelligent OrchestrationはシンプルなAPIコールでCIパイプラインに簡単に統合できる。またDevOps統合の拡張性も高く、開発者はシノプシスのツールが提供するアプリケーション・セキュリティ・テストだけでなく、オープンソースやサード・パーティーのツールによるテストも組み込むことができる。現在使用している開発ツール、リスク管理ツール、バグ追跡ツールを使いながらテスト結果を享受できる。
開発チームは、セキュリティ解析/結果通知/修正などをあらかじめ規定したコードで、自分たちのアプリケーション・セキュリティ・ポリシーを定義することができる。Intelligent Orchestrationは革新的なテクノロジにより、アプリケーションに加えられた変更部分や、ソフトウェア開発ライフサイクルの中で発生したその他の事象を、そうしたポリシーに基づいて診断し適切なセキュリティ・テストを起動する。このように必要な時に必要なテストのみを実行することにより、開発スピードを最大限に引き上げることが可能となる。
Intelligent Orchestrationは、使用されているセキュリティ・テスト・ツールの全域にわたってアプリケーション・セキュリティ・レポートを最適化/共通化する。解析結果は、リスクの度合いに基づいて自動的にフィルタリングと優先順位付けがなされ、開発ツールやバグ追跡ツールに直接送られる。これにより、過剰な脆弱性チェックを防止し、最小限の労力で最大限のリスク管理が可能となる。
Intelligent Orchestrationは、バグ追跡システムやコミュニケーション・チャネルを使って、ペネトレーション・テストのような手作業によるセキュリティ・テストを促すこともできる。これによりセキュリティ対策チームは、開発ワークフロー内でのセキュリティ・コンプライアンスの徹底が可能となる。
TAPプログラムによって、テクノロジ・パートナーのツールをIntelligent Orchestrationに組み込むことによる主なメリットは以下の通りである。
Bitbucket、GitLab、GitHubといった一般に普及しているソースコード管理(SCM)ツールとIntelligent Orchestrationの統合により、ソースコードに変更が加えられた場合にセキュリティ・スキャンが自動実行される。例えば、Intelligent Security Scan GitHub ActionとIntelligent Orchestrationの連携により、セキュリティ・テストの簡潔かつ合理的な実行が可能となり、ソースコード変更の重大性に応じて最も適した解析プロセスが起動される。このプロセスは、プッシュ&プル・リクエストに基づいて追加する必要のあるセキュリティ・スキャンの迅速な実施を自動化できる。スキャン結果は、Static Analysis Results Interchange Format(SARIF)でフォーマットされ、GitHubコード・スキャニング・ユーザー・インターフェイス経由で開発者のワークフロー環境上に表示される。
CloudBees、CircleCI、Bambooといった継続的インテグレーション/継続的デリバリー(CI/CD)ツールとIntelligent Orchestrationの統合も実現している。例えば、CloudBeesとIntelligent Orchestrationの連携により、ビルド/リリース・パイプラインに対応したセキュリティ・テスティング・パイプラインの並列実行が可能となり、開発スピードの足かせとならないアプリケーション・セキュリティ・テストをシンプルに実施することができる。開発者は、セキュリティ解析/結果通知/修正などをあらかじめ規定したコードで、自分たちのアプリケーション・セキュリティ・ポリシーを定義することができる。Intelligent Orchestrationはそれらのルールに戻づいて、ソースコードに加えられた変更部分や、CI/CDの中で発生したその他の事象に対して、適切なセキュリティ・テストがインテリジェントに起動されるかどうかを診断する。
シノプシス ソフトウェア・インテグリティ・グループ ジェネラル・マネージャー Jason Schmittは、次のように述べている。「DevOpsを実施しているあらゆる企業/団体が、DevOps環境にセキュリティ・テストを統合/自動化する際にチーム内で発生する摩擦に悩んでおられます。開発スピードの加速ペースを落とすことなく、製品ポートフォリオ全域にわたってアプリケーション・セキュリティ・ポリシーの実行を自動化し、膨大な量のテスト結果を管理するというのは、気の遠くなるようなミッションです。これがまさに、Intelligent Orchestrationによって解決されるのです。ポリシーに基づいてテスト自動化をインテリジェントに実施し、テスト・プロセス統合の拡張性を高めることにより、Intelligent Orchestrationは、リスク度合いに基づいたセキュリティ・テストと、その継続的反復を、無駄を省いて効率的に実施可能にします」
日本シノプシス ソフトウェア・インテグリティ・グループ リージョナル・ディレクター 阿部 浩也は次のように述べている。「シノプシスはこれまで、静的解析、ソフトウェア・コンポジション解析、動的解析のそれぞれの分野で優れたソリューションをご提供してきました。今後もそれぞれの分野で一層の強化を続け、それと同時にツール間連携、インテリジェント化を進め、セキュリティ・テスト全体を自動化、効率化していくソリューションも提供してまいります。今回のIntelligent Orchestrationはまさに全体の最適化を見据えたソリューションです」
Intelligent Orchestrationの詳細ならびにデモは下記より提供している。
ブログ閲覧は下記より可能。
ウェビナーは、下記よりアーカイブ視聴可能。
https://www.brighttalk.com/webcast/13983/478614
Intelligent Orchestrationの導入事例はこちら(日本語)
シノプシス ソフトウェア・インテグリティ・グループについて
シノプシスのソフトウェア・インテグリティ・グループは、開発チームが安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら開発スピードと生産性を最大化することを支援している。アプリケーション・セキュリティのリーディング・カンパニーとして認められているシノプシスは、静的解析、ソフトウェア・コンポジション解析、および動的解析ソリューションを提供し、チームが独自開発しているコード、オープンソース・コンポーネント、およびアプリケーションの動作の中に潜む脆弱性や不具合をすばやく特定/修正できるようにする。業界をリードするツール、サービス、ならびに専門技術の組み合わせにより、企業/団体がDevSecOpsの中で、またソフトウェア開発ライフサイクルを通じて、セキュリティと品質を最適化できるよう支援している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、業界で最も広範囲をカバーしたアプリケーション・セキュリティ・テスティング・ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、よりセキュアでハイ・クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。
詳細情報は、https://www.synopsys.com/ja-jpより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 ソフトウェア・インテグリティ・グループPR事務局
(井之上パブリックリレーションズ内)
担当:塚田・渡辺
Email:synopsys@inoue-pr.com
2024/5/6 - シノプシス、ソフトウェア・インテグリティ・グループ事業のClearlake Capital社とFrancisco Partners社への売却で正式契約を締結
2024/4/24 - シノプシス、TSMC社の最先端プロセスを活用した次世代チップ・イノベーションを加速
2024/4/17 - シノプシス、包括的なソフトウェア・サプライチェーン・セキュリティ対策のための新ツールBlack Duck Supply Chain Editionを提供開始
2024/4/17 - シノプシス、オープンソース・セキュリティ&リスク分析レポートを発表 コードベースの74%に高リスクのオープンソース脆弱性、前年から54%増加