Application Security Orchestration and Correlation(ASOC)はアプリケーション・セキュリティ(AppSec)・ソリューションに分類され、ワークフローの自動化による脆弱性のテスト・修正の効率化を支援します。ASOCソリューションは様々なAppSecソース(SAST、DAST、IASTツールなど)からデータを収集して1つのデータベースに統合し、結果の相関付けを行って重要な修正作業に優先順位を付けます。最終的な結果により、セキュリティ・チームは情報に基づいた効率的な方法でAppSec(アプリケーション・セキュリティ)のアクティビティを合理化できます。
大局的に見ると、ASOCの最大の利点はDevSecOpsの効率向上に役立つことです。アジャイル開発では迅速化とツールの向上が求められるため、セキュリティ・チームにとって適切なリソース管理と修復アクティビティが大きな課題となります。ASOCはその課題に取り組む上で重要な役割を果たします。
ASOCはセキュリティの取り組みに様々な利点をもたらします。
AppSecの一般的な問題は、脆弱性管理とCI/CD(継続的インテグレーション/継続的開発)パイプラインの分離です。ASOCソリューションでは、複数のソースから得られた統合テスト結果を1つのツールに一元化して結果を関連付け、リスクの高い脆弱性に優先順位を付けることでギャップを埋めることができます。これにより、開発速度に遅れを生じることなく、CI/CDパイプライン内のセキュリティ・オーケストレーションが可能になります。
セキュリティ・チームに対する要求が増え続ける中、セキュリティ・チームと開発チームに課される脆弱性の過負荷を軽減するために、ASOCの役割は間違いなく重要性を増していきます。既存のパイプラインで継続的に自動スキャンを行うASOCソリューションでは、単一のソースから、組織で使用されるすべてのツールの自動スキャンをスケジュールできます。将来的には、AppSecは、ASOCを信頼できる唯一の情報源として採用し、その情報源を活用してAppSecポートフォリオを効果的かつ効率的に管理する方向に向かう可能性が高いでしょう。
シノプシスのIntelligent Orchestration
Intelligent Orchestration(IO)を使用することで、テスト実行のタイミング、結果内容、結果を受け取る人を適切に管理できます。ソフトウェア開発ライフサイクル(SDLC)全体にわたって、カスタマイズされたアプリケーション・セキュリティ・パイプラインによりセキュリティ・テストを自動化し、コード変更の重要度、リスクスコアの合計、会社独自のセキュリティ・ポリシーに基づいて、適切なセキュリティ・ツールを自動的に実行するか、手動テスト・アクティビティをトリガします。
シノプシスのCode Dx
Code Dxは自動化の機能を活用して、セキュリティやスピードを損なうことなく最先端のイノベーションを実現するASOCソリューションです。
すべての開発パイプラインでアプリケーション・セキュリティ・テストを一元化し、自動化によるスケーラブルで反復可能な方法で調整する機能を備えています。Code DXは結果の集約、相関付け、優先順位付けを行います。
Code Dx Correlation Engineを利用すれば、すべてのアプリケーション・セキュリティ・スキャン・ツール(静的および動的解析、商用およびオープンソース・コンポーネント)の結果を1つのコンソールに統合し、重複排除して関連付けることで、問題の解決にかかる時間を短縮し、脆弱性を効果的に管理することができます。
優先順位付けされた結果と修正箇所を追跡する機能により、チームの責任が明確になり、主要なステークホルダーは組織のセキュリティ義務がどの程度履行されているかを簡単に把握できます。
当社の製品と支援方法の詳細は下記のサイトでご覧ください
www.synopsys.com/blogs/software-security/intelligent-orchestration-code-dx-integration/
