ソフトウェア・インテグリティ

 

Forresterによってソフトウェア・コンポジション解析の分野においてリーダーに選ばれたシノプシス

Black Duckは戦略部門で最高ランクを獲得し、Product Vision(製品ビジョン)、Market Approach(市場アプローチ)、Corporate Culture(企業文化)の各基準で最高スコアを獲得しています。

Forresterによってソフトウェア・コンポジション解析の分野においてリーダーに選ばれたシノプシス | シノプシス

今週、シノプシスは当社のソフトウェア・コンポジション解析ソリューションであるBlack Duckの評価に基づいて、「The Forrester Wave™: Software Composition Analysis, Q3, 2021(2021年第3四半期ソフトウェア・コンポジション解析)」でForresterからリーダーとして評価されました。

Forresterはソフトウェア・コンポジション解析(SCA)の主要プロバイダー10社を37の基準で評価しています。当社はこのたび、リーダーとして認められ、戦略部門で最高得点を獲得しました。

本日は、このような高評価を受けた理由を当社がどう考えているかを詳しく説明し、最も必要性の高いところに重要な機能を提供するBlack Duckの仕組みについても話を進めていきます。

レポートをダウンロード

詳細な脆弱性の特定と効果的な修正

Forresterの報告書は、「シノプシスの脆弱性検出機能はこのForrester Waveで最強の機能に数えられる」としています。

Black Duckのマルチファクター・スキャンは、100以上の言語、依存関係分析、バイナリ解析、Codeprint解析、コード・スニペット検出、カスタム・コンポーネント検出のサポートと連携しています。アプリケーションの中で宣言された依存関係と宣言されていない依存関係の両方を検出することで、アプリケーションのコンテンツと関連する脆弱性およびライセンスの包括的で動的なインベントリを利用できます。

リスクを評価する際には網羅性と同様に精度も重要です。Forresterの報告書は、「顧客の評価では、精度が高いことが評価された。Black Duckから問題として報告された場合は、実際に問題が発生している」としています。ユーザーがアプリケーションを信頼する要因の一つは、発見された問題が実際にリスクをもたらすものであると確信できることです。

脆弱性の特定は、アプリケーション・セキュリティの1ステップにすぎません。脆弱性を見つけたら実際に対処する必要があります。その対処のためにBlack Duck Security Advisories(BDSA)サービスがあります。BDSAは脆弱性を把握し、優先順位を付け、修復するために必要なあらゆる情報をご提供します。BDSAには、重大度スコアリング、到達可能性、脆弱性の説明、影響を受けるバージョンの詳細、アップグレード/パッチ/回避策に関する重要なガイダンスが含まれます。これらの有益な詳細情報はすべて、シノプシスのCybersecurity Research Center(CyRC)が独自に作成した記録です。CyRCはシノプシスのオープンソースKnowledgeBaseを活用し、20,000以上のフォージやリポジトリから収集した390万件を超えるオープンソース・プロジェクトを対象にした、オープンソースのプロジェクト、ライセンス、セキュリティ情報に関する業界屈指の包括的なデータベースです。

Forresterの調査結果はこのような情報の充実度と符合すると考えられ、報告書には「レビューでは、シノプシスは脆弱性の修復ガイダンスと優先順位の点で高く評価された」と記されています。

柔軟なポリシー管理

Black Duckの柔軟なポリシー管理は、組織独自のリスク許容度の定義およびキャプチャを支援し、そのデータをSDLC全体で使用するIDE、Jenkins、Slack、Artifactoryなどのツールと連携して Black Duckで自動的に適用することができます。この機能は、組織にとっての最重要事項に焦点を絞ることで、アプリケーション・セキュリティ・ツールでのノイズの発生量を減らす効果があります。

Black Duckを使用することで、ライセンス・タイプ、脆弱性の重大度、オープンソース・コンポーネントのバージョンなど、さまざまな基準に基づいて、使用するポリシーのオープンソースのセキュリティを設定できます。その後、自動ワークフロー・トリガー、自動通知、Jiraなどのアプリケーションとのシームレスな統合により、ポリシーを適用し、修正作業を迅速化することができます。

ライセンス・リスクの全体像

Black Duckでは、関連するライセンス義務によってもたらされるライセンス・リスクの全体像を把握できます。ライセンスデータ、ライセンス、著作権者の特定に関する詳細な情報を使用して、ライセンス義務の全容を視覚化します。この機能を支えているのは、コード・スニペット解析です。これにより、ライセンス義務を負っている可能性のあるオープンソース・コードがプロジェクトに貼り付けられた場合にそのコードの一部を特定することができます。アプリケーション内のライセンスを特定した後、調査結果をさらに分類し、宣言済み(declared)、詳細(deep)、または検出済み(discovered)としてランク分けします。これにより、リスク・レベルと優先的に対処する必要がある義務を把握できます。Black Duckにはオープンソース・ライセンスに加えて、クローズドソース/サードパーティのライセンスをマッピングして識別する機能もあります。

今後の展望

当社が戦略部門で最高得点を獲得した理由は、アプリケーション・セキュリティ・ツールの充実したポートフォリオに裏打ちされ、アプリケーション・セキュリティの将来を見据えた当社のビジョンにあると確信しています。Forresterの報告書には、「シノプシスは、開発チームが自社開発/オープンソース/サードパーティのコンポーネント全体で欠陥を統一的に優先順位付けして修復できるように、アプリケーション・セキュリティ・テスト(AST)ツールを開発ワークフローおよびツールに組み込むことを想定している」と記載されています。

SCAはアプリケーション・セキュリティに必要な手順の一部であり、総合的なアプリケーション・セキュリティ・ソリューションのビジョンにおいて重要な役割を果たします。シノプシスのアプリケーション・セキュリティの将来ビジョンでは、リリース・ブランチにマージする前に、CodeSightとRapid Scanを用いたSCA解析によって依存関係の問題を発見します。CI/CDツールと統合されたフルスキャンにより、デプロイ前とデプロイ後の両方で、依存関係分析では不可能な問題の特定が可能になります。インテリジェントな漸進的分析では、policy-as-code(ポリシーをコードとして実装すること)を活用して、適切なタイミングで適切なスキャンを実行するために、コード変更、リスク計算、開発フェーズなどの変数に応じてSCAスキャンをいつ、どの程度の深度で実行するかを定義します。CodeDxで結果を1つにまとめることで、SCAなどのアプリケーション・セキュリティ・ツールの結果を集約して関連付け、ノイズを低減し、組織全体のすべてのステークホルダーが使用可能な方法でリスクの全体像を正確に把握できます。これがシノプシスのDevSecOpsでの「Sec」の定義です。

「Forrester Wave: ソフトウェア・コンポジション解析(2021年第3四半期)」をダウンロード | シノプシス

 

この著者によるその他の情報