より速く、より迅速にビジネスを行い、より迅速に開発し、それだけでなく高速なAppSecでこれらすべてを保護するというプレッシャーを受けています。企業は、ますます短いリリースサイクルで製品、サービス、アプリケーションを顧客に提供したいと考えています。開発チームは、より迅速なリリースサイクルのプレッシャーに対応できるように開発プロセスとワークフローの摩擦を減らしたいと考えています。また、AppSecチームにはスケーラビリティが必要です。これにより、複数のチーム、アプリ、そしてプロジェクトをサポートし、ビジネスの速度に合わせてセキュリティを構築できるようになります。
セキュリティを損なうことなく、複雑さを排除してコストを削減し、スケーラビリティを速やかに向上させるにはどうすればよいでしょうか?
DevOpsのスピードのセキュリティ
開発チームは、スピードに加えて、シンプルさ、スケーラビリティ、パワーをもたらすアプリケーション・セキュリティ・テスト(AST)ツールを必要としています。Polaris fast Staticおよびfast SCAサービスは、市場をリードするCoverity®およびBlack Duck®の中核にある同じ強力な解析エンジンを用いて構築され、Polaris Software Integrity Platform®の最新バージョンを介して統合され、クラウドを通じて提供されます。
クラウドベースのオプションは、より手頃でスケーラブル、柔軟性があって使いやすいため、業界はここ数年、開発ツールチェーンをクラウドベースのソリューションへと移行してきました。開発チームもASTツールにこれらの利点を求めていますが、これまでほとんどのクラウドベースのASTプラットフォームは、基本的な要求の幾つかを断念せざるを得ませんでした。直観的なプラットフォームは、複雑なアプリケーションのセキュリティの問題を明らかにするほど強力ではないかもしれません。ただし、ローカルで高速なツールは、エンタープライズ向けには規模を拡張できない場合があります。多くのクラウドベースのASTシステムは、静的アプリケーション・セキュリティ・テスト(SAST)ではうまく機能しますが、ソフトウェア・コンポジション解析(SCA)ではうまく機能しないか、その逆のいずれかです。
妥協のないスピード
Polarisは、開発チームが上記の様な妥協をする必要のないSaaS版のASTソリューションを提供します。Polarisは、単一のソリューションでクラス最高のSASTとSCAの両方を提供する、今日の市場で唯一のプラットフォームです。 開発チームは、SASTに強いがSCAに弱い(またはその逆)のプラットフォームを妥協して使用する必要はありません。Polarisを使用すれば、独自のコードとオープンソースの依存関係の両方におけるセキュリティ・リスクを特定するために、高速で正確かつ包括的なSASTとSCA解析が単一のプラットフォームで利用できるからです。
Polarisにより、開発チームは単一のソリューションで複数の強力な解析エンジンを利用できます。
- 正確な解析 Polaris fAST static および fAST SCA は、市場をリードする解析エンジンを用いて構築されており、ソースコードとオープンソースの脆弱性を迅速かつ正確に検出できます。
- 柔軟な構成 開発チームは、アプリケーション、プロジェクト、スケジュール、またはソフトウェア開発ライフサイクル(SDLC)イベントに基づいて、任意のタイミングで指定したテストを実行するようにPolarisを簡単に構成できます。
- 統合されたスキャン結果のビュー Polaris を使用することで、チームは独自のコード、オープンソース・コンポーネント、コンテナイメージ、IaCテンプレート全体のセキュリティの問題を容易に確認して優先順位を付けることができます。
Polarisは、数百から数千のプロジェクトにわたって複数のアプリケーションとリリースを管理できるように柔軟に拡張しながら、セキュリティチームと開発チーム両方の作業を簡素化し、シンプルで強力かつスケーラブルなAST解析を提供します。
必要な統合
モダンソフトウェア開発は、統合と自動化によって定義されます。継続的インテグレーション(CI)システムは、ビルド、テスト、パッケージ化、そしてデプロイのプロセスを自動化します。ツールがCIワークフローにスムーズに統合されていない場合、開発チームは締め切りに間に合わないか、スケジュールを死守するためにテストを省略せざるを得なくなる可能性があります。
Polarisの自動化された脆弱性スキャンと評価により、チームは継続的にテストとトリアージを行うことができます。たとえば、GitHub やGitLabリポジトリからコードを自動的に取得して解析する定期的なセキュリティチェックを計画することができます。あるいは、Jenkinsや、その他のCIワークフローのイベントを使用して、SASTやSCAのスキャンをトリガーすることもできます。アドホックテストの場合、Polarisのインターフェイスを使用してコードを直接アップロードできます。
また、重大度の高い脆弱性が検出された場合、開発チームに警告するか、「ビルドを中断」するポリシーを定義することで、脆弱性のトリアージと修復を加速することもできます。また、PolarisとJiraの統合により、開発者にバグを割り当てて修正することも簡単です。Polarisは、チームが既存のツールを使用して迅速かつ安全に構築できるようにします。
チーム、アプリケーション、スキャンの種類全体で管理する
アプリケーションのセキュリティテスト、トリアージ、そして脆弱性の修正に対する責務の大部分は開発チームが担当しますが、特に中規模から大規模の企業のセキュリティチームは、通常、AppSecプログラムの全体的なカバレッジとパフォーマンスを担当します。統合されたレポートとダッシュボードを使用することで、セキュリティチームが組織全体のテストを管理するのに支援します。
- アプリケーション、プロジェクト、そしてテストの種類全体の脆弱性の重大度と種類の情報を表示する脆弱性トレンドビューを使用し、ポートフォリオ内のAppSecのホットスポットを見つけ出すことができます。
- テストのステータスとパフォーマンス 開発チームは、すべてのプロジェクト、アプリケーション、および進行中および完了したテストのリアルタイム・ビューを受け取ります。
- 管理者による調整 テスト環境の整合性を維持し、トラブルシューティングを支援するために、管理者は構成の変更を追跡できます。
あらゆる開発チームのための柔軟なセキュリティテスト
Polarisは、アプリケーション、チーム、または組織全体に必要な特定のAST機能を選択できる柔軟性を提供します。
シノプシス ソフトウェア・インテグリティ・グループ ジェネラル・マネージャーのJason Schmittは次のように述べています。「Polarisにより、当社は妥協のないアプリケーション・セキュリティ・プラットフォームを提供します。これは、実証済みの最善の技術をSaaSプラットフォームに統合し、柔軟な拡張性と、定評のある業界リーダーによってサポートされています。」
Polarisは、統合されたクラウドベースのSaaSプラットフォームの利点を提供し、チームが必要なときにいつでもどこでもこれらのサービスにアクセスできる俊敏性を提供します。
Continue Reading
2024 OSSRA レポート:オープンソース・コンポーネントの古いコードのリスク
Apr 17, 2024 / 1 min read
