開発者の負担を増やすことなく、SDLCとCI/CDパイプライン全体でセキュリティゲートを自動化します。

開発者の生産性向上

IDE内でコード修正のガイドと安全なコーディング教育を提供することで、コードを書くのと同じ速度でコードをセキュアにします。

効率的なDevSecOpsの自動化セキュリティ

統合されたAppSecテストと拡大されたリスク可視化により、問題を迅速かつ大規模に見つけ、修正します。

AppSecのROIを最大化

スケーラブルなASTプラットフォームにより、AppSecをビジネスの推進力に変えることができます。

ブラック・ダックのDevSecOpsソリューション

AIのペースでAppSecを提供

Black Duck Polaris プラットフォームは、DevSecOps向けに最適化されたクラウドベースのAppSecテストソリューションです。セキュリティポリシーやコントロールを一元管理し、ASTテストを管理し、プロジェクトやリポジトリを迅速にオンボードして数分でコードをスキャンできます。

リスクの検出と対策を推進

SDLC全体とCI/CDパイプラインにおいて自動化されたAppSecテストを活用して、リスクを迅速に検出し、対策を迅速に実施します。IDEプラグイン、主要なDevOpsツール、および普遍的なCIサポートとの統合により、開発者ワークフローに組み込むことが可能です。
Automate IAST

ランタイム・セキュリティ・テストの自動化

IASTを使用して機能テストをセキュリティ・テストに変換し、バックグラウンドでWebアプリケーションの相互作用を監視します。問題を自動的に検証し、偽陽性を減らし、開発者の速度を落とすことなくコンプライアンスをサポートします。

AIの知見で問題をより迅速に解決

Code SightIDEプラグインにBlack Duck Assist™を統合することで、AIによる要約、コードのステップ・バイ・ステップ分析、および修正の提案が提供され、開発者が問題を即座に解決するために使えます。

セキュリティに対処できる開発者を育成

短いインタラクティブなトレーニングでセキュリティの知識のギャップを解消。IDE内で、適切なタイミングで、状況に応じたトレーニングを提供して、セキュリティに精通した開発者を育成します。

DevSecOpsの自動化を支援するリソース

よくある質問

  • オンプレミスやホスト型のセキュリティ・テスト・ツールを使用する方が良いでしょうか?
    DevSecOps向けにAppSecソリューションをデプロイする方法を決定する際、最も良いのはセキュリティ組織とエンジニアリング / 運用チームの両方のニーズを考慮することです。多くの場合、オンプレミスやハイブリッド・デプロイが必要になるのは、特定のビジネス部門やチームに限られます。PolarisなどのSaaSベースのセキュリティ・テストは、最適化することでDevOpsとCI/CDパイプラインに合わせて拡張し、DevSecOpsコストを最小化することができます。ハードウェア導入もソフトウェア更新も不要で、チームの規模やスキャン頻度に制限はありません。柔軟に増減可能なキャパシティと、プロジェクト / スキャン・タイプをまたがる同時スキャンを活用しながら、組織全体で迅速にユーザーとアプリケーションのオンボーディングを実行できます。
  • 開発者がIDEから脆弱性スキャンを実行できるようにする方法を教えてください。
    CCode Sightでは、ソースコードとオープンソース・コンポーネントのセキュリティ・テストを開発者の好みのIDE(VS Code、Visual Studio、IntelliJ、Eclipseなど)に直接統合できます。Code Sightが「セキュリティのスペルチェッカー」の役割を果たすため、開発者はツールの切り替えやワークフローの中断なしでセキュリティの不具合を発見し、修正することができます。Code Sightはパッケージ・レベルとコード行レベルで詳しい修正提案を提供し、修正から当て推量を取り除いて開発者のセキュリティ・スキルセットを高めます。また、開発者はCode Sightをその他のブラック・ダックのソリューション(Polarisなど)に接続して、CI/CDパイプライン・ベースのスキャンで検出し優先順位付けされた問題をレビューすることができます。
  • ブラック・ダックの自動化できるセキュリティ・テストはどれですか?
    ブラック・ダックは、SAST、SCA、インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)、DASTに対応する自動化ソリューションを提供しています。これらのソリューションはCI/CDパイプライン内で統合して自動化し、事前定義したポリシーとワークフロー・トリガーに基づいて設定できます。Polaris Platformでは、アプリケーション、プロジェクト、スケジュール、パイプライン・イベントに基づいて、パイプライン内の最善の段階で最も適切な解析エンジンを柔軟に実行できます。
  • AI生成コードを扱うDevSecOpsプログラムを構築するための最善策を教えてください。
    AI生成コードに関連するセキュリティとライセンスの課題は、基本的に開発者によって持ち込まれる課題と同じです。これに備えるためには、事前に重要なセキュリティ手順を自動化してから、セキュリティ・テスト・ポリシーを定義し、さまざまなSDLC段階とCI/CDパイプライン内で適切なテスト・タイプを統合します。次に、DevOpsセキュリティ自動化テンプレート(Black Duck Security Scan GitHub Action、GitLabテンプレート、Azure DevOps拡張機能など)を使用して修正プル・リクエストを自動化し、問題管理ワークフローとIDEに明確な修正ガイダンスを提供することで、開発者が迅速に問題を修正できるようにします。これらの手順が、AIコード生成に要求されるスピードで必要なAppSec機能を自動化し、拡張するのに役立ちます。
  • 開発やDevOpsの速度を落とすことなくセキュリティ・ゲートを確立する方法を教えてください。
    「重要なのは、開発チームが下流工程に投入するすべてのアプリケーションとコンテナのセキュリティ・リスク態勢をセキュリティ・チームが常に把握し、管理できるようにすることです。DevOpsワークフローを妨げない方法でこれを実現するため、ブラック・ダックのAppSecテスト向けDevSecOpsソリューションはSDLC全体を通じてCI/CDパイプライン内で統合されています。スキャン・イベントをトリガーし、ポリシーに基づく優先順位付けとトリアージを自動化し、修正を加速することで、より効率的で効果的なDevSecOpsを実現し、脆弱性バックログを解消します。SCMとCIツール(GitHub、GitLab、Azure DevOpsなど)に接続し、独自開発コード、オープンソース、サードパーティの依存関係のスキャンをスケジュール設定やトリガーによって実行し、セキュリティ・ポリシー違反に対応する自動化アクション(ビルドのブロック、プル・リクエストへのコメント追加、問題追跡ワークフローの開始など)を設定できます。