業務に必要なスピードを維持しながらソフトウェアのセキュリティを確保
ソフトウェア開発はかつてないほど加速し、自動化が進んでいます。急速に変化する事業運営の要件に遅れずに適応するには、DevOpsにセキュリティを組み込む必要があります。SynopsysのDevSecOpsソリューションにより、開発のペースを落とすことなくセキュリティをシフトレフト(前倒し)することができます。
開発チーム向け
ワークフローの中断
ツールの複雑さとセキュリティ・トレーニングの不足は、プロジェクトの遅れを招き、後工程での手直しにつながります。既存のコードを修正するために後戻りし、優先度の高いプロジェクトに使用するはずの時間とリソースを修正に割かなければならなくなります。
DevSecOpsチーム向け
パイプラインの輻輳
多数のASTツールを統合する作業は、困難で時間がかかる場合があります。AppSecテストによって開発パイプラインが妨害または中断され、生産性の低下や納期の遅れにつながる可能性もあります。
すべての人向け
脆弱性による過負荷
ツールから得られる結果が多すぎるため、セキュリティ・チームと開発チームは、業務上の最重要課題に焦点を当てるために、バラバラな調査結果を分類することに労力を割かれています。
SynopsysとともにDevOps統合にセキュリティを賢く組み込む
アジリティとスケーラビリティを向上させながら、AppSecの複雑さとコストを削減
いつでもどこでも、あらゆるスキャンを一度に自動化
Polaris Software Integrity Platform®は、DevSecOpsのニーズに最適化された、統合型のクラウドベースのアプリケーション·セキュリティ·テスト·ソリューションです。開発者が容易に使い始められ、数分でコードのスキャンを開始できるほか、セキュリティ·チームが数千のアプリのAppSecテスト作業とリスクを追跡·管理することが可能です。
機能とセキュリティを同時にテスト
ランタイム・セキュリティ・テストを最適化してDevOpsを自動化
インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)は、Webアプリケーションの通信をバックグラウンドで監視することにより、機能テストをセキュリティ・テストに変えることができます。また、Seeker®の自動検証機能は、実行時に表面化する真のリスクを特定するために役立ちます。Seekerを利用すると、結果を即座に得ることができ、誤検知もほとんどないため、本番環境の速度を低下させ、開発チームに負担をかける手動のセキュリティ・スキャンを実行する必要がなくなります。
開発のスピードを落とすことなく、セキュリティをシフトレフトする
コード作成のペースに合わせて速やかにコードをセキュアに
Code Sight™の迅速なIDE(統合ソフトウェア開発環境)ベースのテストにより、後工程に進む前に、よりセキュアなコードを作成して脆弱なコンポーネントを修正することができます。開発者は、IDEを離れることなく、セキュリティ上の不具合を正確かつ速やかに検出し、詳細な修正ガイダンスを確認できます。また、修正にかかる時間を削減し、ワークフローを妨げることなく開発チームのセキュリティ水準を高めます。
AppSecワークフローをポリシーで自動化
AppSecのノイズを取り除き、最も重要なことに集中する
すべての自動テストと手動テストの結果を統合し、相関させ、不具合を開発者に直接送信することで生産性を最大化します。Code Dx®は、CoverityやBlack DuckなどのASTツールを統合するためのポリシー駆動型ワークフローを設定し、問題の優先順位付けを行い、ソフトウェア資産全体のコンプライアンスを監視することが可能です。また、ASTを簡素化して修復作業に集中し、組織のソフトウェア・リスク態勢を把握することを可能にします。
DevSecOpsは単なるツールの問題ではない
DevSecOpsには、使用するツールだけではなく、人、プロセス、計画も関係しています。Synopsysは、DevSecOpsの全工程で、今日の部門横断的な組織をサポートし、DevSecOpsプログラムを成功させるための道案内役を果たします。
DevSecOpsの考察
よくある質問
Polaris Software Integrity Platformは、SaaS(クラウドベース)で提供され、DevSecOpsのコストを最小限に抑えるように最適化されています。ハードウェアの導入やソフトウェアの更新が不要で、チームの規模やスキャン頻度にも制限がありません。プロジェクトやスキャンの種類を問わず、弾力的なスキャン容量と同時スキャンの活用により、組織全体でのアプリケーションの導入とユーザーによる利用を速やかに実現できます。
Synopsysの自動化ソリューションには、静的アプリケーション・セキュリティ・テスト(SAST)、ソフトウェア・コンポジション解析(SCA)、インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)、動的アプリケーション・セキュリティ・テスト(DAST)などがあります。これらのソリューションは、CI/CDパイプラインに統合して自動化し、定義済みのポリシーとワークフロー・トリガーに基づいて設定できます。Polaris Software Integrity Platformは、アプリケーション、プロジェクト、スケジュール、またはSDLCのイベントに基づいて、パイプラインの最適な段階で最適な解析エンジンを実行することのできる柔軟性を提供します
「シフトエブリウェア」アプローチの実装では、ソフトウェア開発ライフサイクル(SDLC)とCI/CDパイプライン全体にセキュリティを組み込みます。コード品質とセキュリティ・リスクに対する洞察をIDE内の開発者に直接提供し、ビルド時およびリポジトリとレジストリ内で静的解析とソフトウェア・コンポジション解析を導入し、ステージング環境とテスト環境で動的な実稼働前解析を実行して、実行時に表面化するリスクを検証します。
シノプシスのアプリケーション・セキュリティ・テスト・ソリューションは、DevOpsワークフローやCI/CDパイプラインに統合されています。スキャン・イベントのトリガー、ポリシーに基づく優先順位付けとトリアージの自動化、修復の迅速化により、脆弱性のバックログをなくし、より効率的で効果的なDevSecOpsを実現します。クラウドベースのSaaSで提供されるPolaris Software Integrity Platformは、SCMやCIツールと簡単に接続でき、独自のコード、オープンソース、サードパーティの依存関係のスキャンを、スケジュールまたはトリガーすることで実行します
Code Sightは、ソースコードとオープンソース・コンポーネントのセキュリティ・テストを開発チームのIDEに直接組み込みます。そのため、ツールを切り替える手間やワークフローの中断なくセキュリティ上の欠陥を検出して修正することができます。Code Sightを使用すると、パッケージ・レベルとコード行レベルで推奨される詳細な修正案を表示できるため、開発者は推測に頼ることなく修正でき、開発チームのセキュリティ・スキルセットを強化することができます。
セキュリティ・プログラムが進化するにつれて、DevSecOpsの取り組みの中で、複数のツールで同じアプリケーションの同じリスクが検出されることがありますが、これは、時間とコストの浪費や結果の矛盾が生じる原因となります。Code Dxで結果を関連付けて重複を排除することにより、ノイズの多い結果のレビューに無駄な労力を費やすことなく、プロジェクト全体で重要度の高いリスクから先に修正することに集中できます。
Code Dxは、脆弱性を特定したテスト・ツールまたはセキュリティ・ベンダーに関係なく、すべてのアプリケーション脆弱性の記録システムを構築します。これにより、特定の基準に基づいて主要な脆弱性を検出し、リスク管理体制を一元的に把握することができます。また、AppSecプログラムの効果を評価できます。
DevSecOpsプログラムを編成するための重要なステップとしては、重要なセキュリティ手順を自動化できるようにセキュリティ・テスト・ポリシーを事前に定義する、SDLCおよびCI/CDパイプラインのさまざまな段階でテストの種類ごとにインテリジェントなセキュリティ・オーケストレーションを設定する、IDE内のセキュリティ・テストと修正を追加して、開発者がコードの作成中に問題を発見・修正できるようにする、リスク・データの配置・関連付け・管理により効果的なリスクの優先順位付けと修正を可能にする、などが挙げられます。
