Code Dx のもたらす革新的な機能

本日、シノプシスは Code Dx社の買収を発表しました。同社はソフトウェア脆弱性の発見/相関付け/修正の自動化・高速化を可能にするアプリケーション・セキュリティ・リスク・管理ソリューションを提供しています。同社の買収により、シノプシスのアプリケーション・セキュリティのビジョンを推進する重要な機能が加わるとともに、お客様はソフトウェアのセキュリティに関連する組織的なリスクの実態を把握することができるようになりました。

また、シノプシス製ツール、サードパーティー製ツール、オープンソース・ツールでセキュリティ・テストのオーケストレーションをインテリジェントに行う機能を利用できるようになりました。75社を超すテスト・ソリューションを手動テスト・アクティビティの結果を相関付け、優先順位付けをすることもできます。Code Dxでは、すべての対象アクティビティの統合ビューと組織のリスクに関する知見を得ることができます。

これらの機能は、シノプシスだけでなく、アプリケーション・セキュリティ（AppSec）業界にとって、そして何よりもお客様にとって革新的なものであると自負しています。

Synopsys Code Dxの概要

Code Dxは、GartnerによるApplication Security Orchestration and Correlation（ASOC）というカテゴリに分類されます。

市場に出ているASOCツールを調査した結果、Code Dxには以下の特徴があるという結論に達しました。

• 柔軟性なアーキテクチャ
• 優れた相関技術
• 広範な統合

大局的な観点から見ると、Code Dxはソフトウェア・リスクを総合的に管理できる独自設計を採用しています。

Code Dxはシノプシスの技術提携パートナーとして既にシノプシスの製品群に統合されているため、お客様はCode Dxのメリットをすぐに実感できます。さらに、Code Dxと最近発表されたシノプシスのIntelligent Orchestrationソリューションを組み合わせることで、比類のない包括的なオーケストレーション・相関機能を実現します。Code Dxと同様に、Intelligent Orchestrationもサードパーティー製ツールやオープンソース・ツールと連携して機能します。これにより、アプリケーション・セキュリティ・テスト（AST）をDevOpsワークフローに効率的かつ実用的に統合する優れたソリューション・セットが実現し、あらゆるASTツールの投資効果を高めることができます。

Code Dxは、以下をはじめとするロバスト性の高い機能を備えています。

• 静的解析（SAST）、動的解析（DAST）、インタラクティブ解析（IAST）、ソフトウェア・コンポジション解析（SCA）など、あらゆる形態のASTからの出力を関連付けることが可能。Code Dxでは、脅威モデリングなどの手動テストの結果を関連付けることもできます。複数のテスト・ツールを使用することで、様々なテスト結果を関連付けて結果への対処を効率化し、リスクを詳細に可視化することができます。
• 様々なプロバイダーと連携して開発された75を超す統合ツールを利用可能。Code Dxは、従来のSAST/DAST/IAST/SCAツールとの統合に加えて、クラウド/コンテナ分析ツール、ネットワーク・スキャン・ツール、モバイル・セキュリティ・ツール、課題管理システムとも統合されています。
• Jiraなどのチケット・システムとの緊密な統合。これにより、チケットの重複をなくし、説明責任の確保に必要な統合データを提供して、開発チームへの作業分担を効率的に行います。
• ポリシー、アプリケーションに関するメタデータ、脅威インテリジェンスに基づいて結果に優先順位を付け、統合された機械学習技術を適用する。最終的な目的は、修正内容と優先順位に関するガイダンスを示し、リスクの軽減と開発効率の向上に役立てることです。
• 統合テスト・データを使用して、アプリケーション・ポートフォリオ全体のリスクを把握するための情報が得られる。これにより、テスト結果からビジネス・リスクへとAST/AppSecに関する話し合いを進めることができます。

総括：シノプシスのお客様にとっての意義

お客様にとって、市場投入までの期間の短縮は重要課題です。市場投入に時間がかかったり、開発プロセスに摩擦が生じると、ビジネス上の脅威となります。その認識から、シノプシスは、お客様がソフトウェア・リスクに効率的かつ総合的に対処できるようお手伝いをすることに力を注いでいます。当社の製品群にCode Dxが加わったことで、その実現が可能になりました。

最近の環境には、次の3つの要件があります。

1. 最大のアタックサーフェスであるソフトウェアをテストする必要がある。ソフトウェア・セキュリティの全体像を把握するには、様々な種類のテストを実行する必要がありますが、それによって膨大な結果が生成されます。
2. 摩擦のないセキュリティを実現することで、ビジネスのスピードに合わせて開発ペースを速める必要がある。アプリケーションのテストで開発ワークフローを停滞させ、効率を阻害することは許されません。
3. 開発効率の低下を防ぐため、修正対象として膨大な結果をダンプしないようにする必要がある。テスト結果の関連付けと優先順位付けを行い、開発チームが最大のリスクに対処するための作業を効率化する必要があります。

この3つの要件をすべて満たすには、適切なタイミングとレベルで適切なテストを実行し、結果を修正するために効果的な関連付けと優先順位付けを行う必要があります。シノプシスがこれらの要件のすべてを満たす機能をお客様に提供できるようになったことで、ASTは生産性の阻害要因ではなく、生産性向上を実現する手段となります。シノプシスは、開発の生産性を向上させ、DevOpsチームが事業の推進と組織のリスク低減を両立させるために必要な効率性の実現を支援します。

その一環として、第3世代のアプリケーション・セキュリティ（AppSec）を構築しています。開発ワークフローを停滞させるサイロ化されたソリューションはもはや過去のものとなりました。開発チームの修正作業には無関係な結果が生成されることが多く、その結果摩擦が増加して、かえって生産性が阻害される「Good Enough（十分に良い）」テストの時代も過ぎ去りました。次世代のAppSecでは、DevOpsワークフローの主要なイベントのニーズに合わせて、「Just Enough（過不足のない）」テスト手法が求められます。

シノプシスのポートフォリオにCode Dxが加わったことに私たちスタッフが興奮している理由がこれでおわかりでしょう。Intelligent Orchestrationなどの包括的なASTソリューションにCode Dxが加わったことで、進化を続けるAppSecとアプリケーション・セキュリティ・テストに取り組むお客様の要件に従来以上に的確に対応できるようになりました。