「迅速」という言葉は、開発者がアプリケーション・セキュリティ・ソリューションに期待するものについて、特に重要です。開発作業を遅らせるものは摩擦を引き起こします。軽快ですぐに結果が得られることは、従来の脆弱性だけでなく、ハッカーが簡単に悪用できる脆弱性を露呈する可能性のある構成ミスに対しても、有意義で正確な修復を可能にする AST ソリューションの採用の鍵となります。
静的アプリケーション・セキュリティ・テスト(SAST)およびソフトウェア・コンポジション解析(SCA)におえるスキャンは、組織の AST プログラムの一環として必要です。これにより、開発者は結果を速やかに得られ、修復を加速できます。一部の調査では、迅速なコンテキストベースのスキャンにより、開発者にスキャン結果が返されるまで 1日かかるような、従来のアプリケーション・セキュリティ・テストと比較して、修正率が 70% 以上向上することが示されています。
Synopsys は、アプリケーションセキュリティにおける脆弱性の問題を広く、そして深くカバーすることで 、AppSec チームを支援することに重点を置いており、開発者がソフトウェア開発ライフ サイクル (SDLC) の初期段階で問題を速やかに発見して修正できるようにします。これには、オープンソース・コードとカスタムコードの両方が含まれます。開発者にとっては、すべてコードに過ぎないためです。開発者は、脆弱性とそれに対して何ができるかを知る必要がありますが、それ以外はただの雑音なのです。
Synopsys Rapid Scan は、Coverity® SAST および Black Duck® SCA ツールと連携して、SDLC の早い段階でアクションを実行できる迅速な結果を提供することで、開発者にとっての雑音と摩擦を軽減します。Coverity の Rapid Scan SAST 機能は、新しいSigma スキャンエンジンを活用して最新の開発を加速し、IDE(Code Sight™ for Visual Studio を含む)と CI/CD パイプラインでシームレスに動作し、自動化された迅速な結果をもたらします。JavaScript のカバレッジから Infrastructure as Code およびクラウドネイティブ・アプリケーションの構成ミスのチェッカーまで、Coverity は次世代の SAST のニーズを満たすために急速に進化しています。
2021年 7月、Synopsys は、Terraform、Kubernetes、および CloudFormation のクラウドネイティブ・カバレッジと、新しいマイクロサービス構成チェッカーを発表しています。SARIF および JSON の出力形式により、アクションが容易になり、GitHub および GitLab のサポートにより、ポリシー定義を含むPULLリクエストの自動化によるスキャンが可能になりました。詳細については、このブログ記事をご覧ください。
Synopsys はまた、2021年 7月に Black Duck Rapid Scan 機能の一般提供を発表しています。SAST と SCA は、開発者にとって必須で重要なASTです。 Black Duck Rapid Scan を使用すると、開発者は Detect CLI または Jenkins や GitLab などの CI/CD ツールを使用して、依存関係のリスクを早期に把握できます。 開発者は、スケーラブルな結果 (1 日あたり 30,000 回以上のスキャン) で脆弱性を即座に把握できます。 スキャンは、コードのコミット前/プルリクエスト時に実行できます。完全な多要素スキャンは、完全なソフトウェア部品表を使用して後で再度実行できます。 これにより、Black Duck を使用する組織にスピードと深さの適切な組み合わせが提供されます。
さらに、Rapid Scan はIntelligent Orchestrationと連携して動作し、優れた自動化を実現します。Intelligent Orchestration はポリシーをコードとして活用し、アプリケーションに基づいて適切なスキャナーが適切なタイミングで実行されるようにします。 その結果、開発ワークフローが分離され、SAST と SCA の両方のスキャンが早期かつ頻繁に行われるようになり、パイプラインのスピードを高速化します。
あまりにも長い間、ベンダーは開発者の働き方を変えようとしてきました。 その結果、開発者は単に他のオプションを見つけるか、さらに悪いことに、初期のセキュリティ テストを実施しませんでした。 最近のセキュリティ違反の増加、規制の変更、開発のスピードの向上により、セキュリティ テストが組織の DevOps プロセスに統合されていることを確認するには、迅速なスキャンが唯一の方法です。 アプリケーション セキュリティとは、開発者のために SAST および SCA スキャンを有効にして高速化し、GitLab から IDE まで、開発者がいる場所に対応する必要があることを意味します。 また、インテリジェント オーケストレーションなどの機能を使用してパイプラインを自動化することで、現在および将来の迅速な開発ニーズを満たします。