SASTソリューションのCoverityならびにSCAソリューションのBlack Duckに搭載された新しいRapid Scan機能により、クラウド・ネイティブなアプリケーションに対してコーディングを進めつつセキュリティ対策を進める開発手法を提供
2021年7月27日 カリフォルニア州マウンテンビュー発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、静的アプリケーション・セキュリティ・テスト(SAST)ソリューション Coverityならびにソフトウェア・コンポジション解析(SCA)ソリューション Black Duckに搭載される新機能 Rapid Scanの提供開始を発表した。Rapid Scan機能の活用により、開発プロセスに負荷をかけることなく、短時間で自社開発やオープンソースのコードに潜む脆弱性を検出することが可能になる。Rapid Scanは、開発初期段階での適用に最適で、特にクラウド・ネイティブなアプリケーションや、手動プロセスではなくコードを使用してインフラストラクチャの管理/供給を行うIaC(Infrastructure as Code)の開発に適している。
包括的かつ徹底したセキュリティ・テストは、ソフトウェア開発ライフサイクル(SDLC)の後期段階でのリスク・マネージメントで重要な意味を持ってくるが、SDLCの初期段階での各開発ステップの全てでフル・スキャンを実行するのは、時間も手間も浪費する作業となる。Rapid Scanは、こうした従来型のアプリケーション・セキュリティ・テスト手法を補完するソリューションであり、コード・チェックインのたびに、あるいは初期段階のビルド工程で、開発作業をスローダウンさせることなくSASTやSCAスキャンを短時間で実行することが可能になる。これにより開発者は、開発の前倒し(シフトレフト)を効率的に行うことが可能となり、SDLCの後期段階へのセキュリティ対策の先送りを回避できる。
シノプシス ソフトウェア・インテグリティ・グループ ジェネラル・マネージャー Jason Schmittは、次のように述べている。「今日のソフトウェア開発の顕著な特長の一つとして、膨大な開発プロセスをより小さくて管理し易い単位に分割して進める手法があります。この分散開発手法によって、コーディングを迅速かつ同時進行で進めることが可能となります。DevSecOpsを採用している企業/団体は、アプリケーション・セキュリティ・テストについても同じ措置を講じる必要があります。CoverityやBlack Duckのユーザーは、コードの記述中あるいは仕上げの段階で、Rapid Scanが提供する高速スキャン機能を予防的に実行し、表層レベルの脆弱性を特定/根絶することができるようになりました。その上で、アプリケーションをリリースする前のSDLC後期段階でもCoverityやBlack Duckを使って、より詳細なセキュリティ・スキャンを実行することができます」
新機能の概要は、以下の通りである。
Coverity SASTのRapid Scan機能により、開発者のデスクトップで、あるいはGitLabやGitHub Actionsなどの継続的インテグレーション(CI)パイプラインの中で、開発中のコードのセキュリティ解析を短時間で実行できる。Coverity Rapid Scanは、Kubernetes、Terraform、CloudFormationといったIaCフレームワークや、GraphQL、Kafka、Postmanなどのマイクロサービスに組み込まれたクラウド・ネイティブなアプリケーションの開発に向いている。Rapid Scanにより、一般的に知られている脆弱性や、コンフィギュレーションの欠陥が疑われる箇所、APIの誤使用などを短時間で検出することができる。
Black Duck SCAのRapid Scan機能により、開発者はコードの依存関係解析を短時間で実行して、コードをリリース・ブランチに組み込む前に、アプリケーション・コードの中の何らかのオープンソース・コンポーネントが自社のセキュリティ・ポリシーやライセンス・ポリシーに違反していないかどうか判断することが可能となり、プロジェクト・マネージャーも、この煩わしい業務から解放される。Black Duck Rapid Scanにより、開発者はコードの依存関係がもたらすリスクを早い段階で見抜くことが可能となり、多元的なオープンソース解析などの手間のかかるSCA作業を一旦保留にして、SDLAの後期段階に向けて完全なソフトウェア部品表を作成することが可能となるため、開発スピードと効率を最適化することができる。
Coverity Rapid ScanならびにBlack Duck Rapid Scanは、シノプシスのIntelligent Orchestrationソリューションとの連携で使用でき、CIパイプラインの中で発生するイベントごとに、高速なSASTならびにSCAスキャンを自動的に決定し起動することができる。DevOpsチームが適切なタイミングで適切なセキュリティ・テストを実行可能にするIntelligent Orchestrationは、スピードと効率が重要となるCIパイプラインの初期段階でRapid Scan機能を用いてテストを実行し、アプリケーションのリリース前にクオリティとセキュリティを最終確認するパイプライン後期段階ではCoverityとBlack Duckによるフル・スキャンを実行する。
Coverity Rapid ScanならびにBlack Duck Rapid Scanの詳細は、下記より参照可能。
シノプシス ソフトウェア・インテグリティ・グループについて
シノプシスのソフトウェア・インテグリティ・グループは、開発チームが安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら開発スピードと生産性を最大化することを支援している。アプリケーション・セキュリティのリーディング・カンパニーとして認められているシノプシスは、静的解析、ソフトウェア・コンポジション解析、および動的解析ソリューションを提供し、チームが独自開発しているコード、オープンソース・コンポーネント、およびアプリケーションの動作の中に潜む脆弱性や不具合をすばやく特定/修正できるようにする。業界をリードするツール、サービス、ならびに専門技術の組み合わせにより、企業/団体がDevSecOpsの中で、またソフトウェア開発ライフサイクルを通じて、セキュリティと品質を最適化できるよう支援している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、業界で最も広範囲をカバーしたアプリケーション・セキュリティ・テスティング・ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、よりセキュアでハイ・クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。
詳細情報は、https://www.synopsys.com/ja-jpより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 フィールド・マーケティング・グループ 藤井 浩充
TEL: 03-6746-3940
2024/5/6 - シノプシス、ソフトウェア・インテグリティ・グループ事業のClearlake Capital社とFrancisco Partners社への売却で正式契約を締結
2024/4/24 - シノプシス、TSMC社の最先端プロセスを活用した次世代チップ・イノベーションを加速
2024/4/17 - シノプシス、包括的なソフトウェア・サプライチェーン・セキュリティ対策のための新ツールBlack Duck Supply Chain Editionを提供開始
2024/4/17 - シノプシス、オープンソース・セキュリティ&リスク分析レポートを発表 コードベースの74%に高リスクのオープンソース脆弱性、前年から54%増加