アプリケーションの脆弱性は、ハッカーの第一の標的です。しかし、モダン・アプリケーション開発の複雑さとペースの速さにより、セキュリティ問題の効果的な検出と修正はますます困難になっています。Synopsysでは、アプリケーションのライフサイクルのすべての段階で、独自開発コードとサードパーティー・コードのセキュリティ上の弱点と脆弱性に対処するために必要なツールとサービスをチームに提供します。
すべてに対処できるAppSecツールはありません
ソフトウェア・コンポジション解析
オープンソースはほとんどのアプリケーションの基盤であり、多くの場合、コードの75%以上を占めています。ソフトウェア内のすべてのオープンソースを追跡できるように、信頼できるソフトウェア・コンポジション解析ソリューションが必要です。それによって、Log4Jのような広く使用されているコンポーネントの脆弱性(CVE)を標的とした、ハッカーによるアプリケーションの侵害を防ぐことができます。
静的解析
ほとんどの開発者はセキュリティのエキスパートではありません。犯しやすいコーディングのミスによってセキュリティ上の弱点(CWE)が露呈されれば、重大な影響を及ぼしかねません。開発チームがコーディングする際に、セキュリティ上の不具合を速やかに見つけて修正できるようにするには、迅速かつ正確な静的解析が必要です。
インタラクティブ解析と動的解析
一部の脆弱性は、アプリケーションを起動して実行してからでないと検出できません。静的解析とソフトウェア・コンポジション解析を行っている場合でも、実行時の脆弱性についてアプリケーション、Webサービス、プロトコル、APIをテストするためのインタラクティブ解析と動的解析も必要です。
あらゆる角度から自信を持ってセキュリティに取り組む
あらゆるアプリケーションを包括的にテストする
1つのAppSecソリューションですべてに対処できるわけではありません。Black Duckのアプリケーション・セキュリティ・テスト・ツールとサービスを使用すれば、複数の解析技術を組み合わせて、アプリケーション、サービス、コンテナを包括的にテストできます。
- 静的解析: 独自開発コードのセキュリティ上の不具合を特定します。
- ソフトウェア・コンポジション解析: 脆弱なオープンソース・コンポーネントとコンテナを検出します。
- インタラクティブ解析:DevOpsワークフローでWebアプリケーションのセキュリティ解析を自動化します。
- 動的解析:QAと本番環境でWebアプリケーションのセキュリティを検証します。
アプリケーション・セキュリティをシフトレフトする
開発チームは、セキュリティ上の弱点と脆弱性に対する第一の防衛線です。開発チームがCode Sight™ IDEを使ってコーディングする際に、セキュリティ上の不具合を見つけて修正できるようになります。
自動化されたSDLCにセキュリティを組み込む
開発プロセスは自動化されています。アプリケーション・セキュリティ・テストも自動化する必要があります。組み込みのSCM、CI、問題追跡機能と、Black Duck Polaris Platformを統合することで、テストを簡単に統合して自動化できます。
ポートフォリオ全体のセキュリティリスクと進捗状況を追跡して管理する
AppSecチームは、ソフトウェア・リスクの実際の状況を把握するのに苦労しています。Software Risk Managerは、既存のセキュリティ・ツール、開発ツール、ワークフローに接続して統合できる、一元管理された単一のプラットフォームを提供します。生産性指標、リスク・スコアリング、問題の傾向に関して詳細な解析結果を取得できます。
オンデマンドのセキュリティ・テスト・サービスでチームを強化する
アプリケーション・セキュリティのエキスパートを見つけるのは大変です。Black Duckのセキュリティ・テスト・エキスパートで構成されるグローバル・チームにより、リソースのギャップや優先プロジェクトに迅速かつコスト効率よく対処できます。
- 最先端のレッドチームとペネトレーション・テスト。
- 静的、動的、およびモバイル・アプリケーションのセキュリティ・テスト。
- シック・クライアント、IoT、および組み込みアプリケーション専用のテスト。
Black Duckを使用してSDLCにセキュリティを組み込む
Black DuckがAppSecテスト分野のリーダーである理由をご覧ください
Garter® Critical Capabilities for Application Security Testing
Black Duckが5つのユースケースで最高のスコアを獲得した理由をご覧ください
