SynopsysとReversingLabsがソフトウェア・サプライチェーン・リスク管理を強化するための契約に署名
SynopsysとReversingLabs との契約により、包括的なソフトウェア・サプライチェーン・リスク管理ソリューションが提供されます。
サプライチェーンの課題に対処
近年、DevOpsによって、ソフトウェアを本番環境にリリースする方法が変わりました。これにより、新たなカテゴリの脆弱性が生まれ、ソフトウェア・サプライチェーンに新たなリスクが現れたのです。 Stuxnetのような種類の侵害は稀でしたが、SolarWindsなどのサプライチェーン攻撃によって、より一般的になったのです。多くの意味で、ソフトウェア・サプライチェーン・セキュリティを組み込むことは「新しい」DevSecOpsへの変革であり、業界や地域を超えた組織が、まだ「完全には理解していないリスク」を軽減する方法を見つけるために奔走しています。同時に、組織は、すべてのソフトウェアのソフトウェア部品表(SBOM)の形でソフトウェアの透明性の向上を求める規制当局の要求に従うのに苦心しており、セキュアなソフトウェア開発のベストプラクティスを適用していることを示すため、国立標準技術研究所(NIST)のSecure Software Development Framework(SSDF)などの進化したガイドラインに準拠していることの証明書(Attestation)も必要です。
新しい道を切り開く
ソフトウェアの製造者(Producer)と消費者(Consumer)の両方が、攻撃にさらされる可能性のあるソフトウェア・サプライチェーンの脅威と弱点の課題に対処するための支援を必要としています。多くの企業は、既存の資産を活用するために、ソフトウェア・コンポジション解析(SCA)などのツールと能力を駆使するだけでなく、より広範なサプライチェーン・リスクに対処するため、SBOMの全体的な網羅性を拡張しようとしています。また組織は、サプライ チェーンの脅威に対処するために必要な、現在のJSON形式のSBOMを超えるレベルの詳細な知見をも求めています。
このような市場の要求に基づいて、SynopsysはReversingLabsと提携しました。当社のBlack Duck® SCAソリューションの市場をリードする機能とReversingLabsのソフトウェア・サプライチェーン・セキュリティ(SSCS)プラットフォームを組み合わせることで、組織はソフトウェア・サプライチェーンのリスクを積極的に管理する方法を変革できます。Black DuckとReversingLabsを用いることで、オープンソース・コンポーネント、依存関係、脆弱性、ライセンス・コンプライアンスのリスクを追跡できるのみならず、商用およびサードパーティ・コンポーネントの詳細なバイナリ・スキャンを実行して、ソフトウェアの改ざんやソフトウェア・パッケージに埋め込まれたマルウェアを特定することができるようになります。また、Synopsys と ReversingLabs は、包括的なSBOMの生成と、マルウェアや悪意あるコードの検出(MCD)を組み合わせることで、開発チームが今日活用できる強力なツールを提供しながら、将来急速に進化するサプライチェーンの脅威に対処できるようにします。
サプライチェーンの価値の差別化
2023年5月11日、シノプシスはReversingLabsのソリューションを再販する契約を発表し、業界で最も包括的なSBOMとサプライチェーン・リスク管理ソリューションを構築しました。Synopsys Black Duck SCAとReversingLabs SSCSは連携して、サプライチェーンのリスク、脅威、攻撃に関する重要なセキュリティに関する知見を提供し、お客様のCIの維持をお手伝いします。
- シグネチャ・スキャン、スニペット、IaC テンプレート用の Black Duck SCA の価値と、商用およびマルウェア解析用のReversingLabs SSCSとの緊密な統合
- Polaris Software Integrity Platform® を介した統合された SaaS サービスにより、共同ソリューションのコンポーネントとして Polaris fAST ソフトウェア サプライ チェーン機能を提供
- Black Duck KnowledgeBase™ と ReversingLabs の脅威インテリジェンスを組み合わせた、高度でカスタマイズ可能なインテリジェンス・フィード・サービス。高度な脆弱性とリスクの知見と、企業向けにカスタマイズされたSIEM、GRC、その他のシステムに取り込むことができる新たな脅威とリスクに関するアラートを提供
ほんの始まりに過ぎません
将来的には、Synopsys Black Duck と ReversingLabs SSCS の機能を組み合わせることで、エクスポート、インポート、およびマージが可能な包括的なSBOM管理が可能になり、高度で正確なソフトウェア・サプライチェーン・リスクのスコアリングが可能になります。ユーザーは、オープンソース、商用、サードパーティのソフトウェア・コンポーネントをドリルダウンして、リスクや脆弱性、改ざんや悪意のあるコードの証拠を特定できるようになります。結合されたセキュリティ・データは、単一の管理コンソールに加えて、GitHubやGitLabなどのソースコード管理ツールによる自動化も可能です。最も包括的なスキャン結果と規模に応じた品質を得られることは、サプライ チェーンの課題に対処することに真に焦点を当てている組織にとって、シノプシスとReversingLabsの組み合わせは最適な出発点です。
